OpenVPN com iptables e uma interface tun

5

Com um túnel openvpn que usa um dispositivo tun, quais regras iptables permitem o tráfego encapsulado e quais regras controlam os pacotes após o encapsulamento? Basicamente, eu estou querendo saber como a ordem das operações funciona com o iptables e o openvpn, e também como isso se relaciona com as cadeias.

    
por Kyle Brandt 19.10.2010 / 16:29

2 respostas

8

O tráfego de texto sem formatação entrará e sairá dos dispositivos tunX; você pode encontrar as opções -i tun+ e -o tun+ para iptables, que correspondem a qualquer interface tun, útil para lidar com isso.

O tráfego criptografado será UDP / TCP na porta 1194 ou, como você especificou, na sua interface ethernet. Ao filtrar o tráfego para o servidor, não se esqueça de permitir os pacotes criptografados pelo OpenVPN.

E quanto às cadeias, o tráfego criptografado chegando é considerado terminado no servidor openvpn, então essa é a cadeia INPUT; a saída de tráfego criptografada é considerada originada no servidor, então essa é a cadeia OUTPUT. O tráfego entre sua rede interna e as interfaces tunX é de responsabilidade da cadeia FORWARD.

    
por 19.10.2010 / 16:46
1

Para o tráfego que chega pelo túnel, você só precisa configurar as regras FORWARD para permitir o tráfego da interface tun para a interface eth. Tal como a seguinte regra permite o acesso de tun0 a RDP para o intervalo específico.

-A AVANÇAR -i tun0 -p tcp --dport 3389 -d 192.168.0.0/24 -j ACCEPT

Após as regras de encaminhamento, se você tiver uma regra estabelecida / relacionada na interface eth, ela permitirá que o tráfego volte.

    
por 19.10.2010 / 16:43