OpenVPN - bloqueando o tráfego de cliente para cliente

Navegue suas respostas
3

Eu tenho um servidor OpenVPN rodando em uma caixa Debian. O que eu gostaria de fazer é bloquear todo o tráfego entre clientes conectados a esse servidor OpenVPN.

O servidor tem um IP local de 10.10.10.1 e os clientes obtêm IPs entre 10.10.10.2-10.10.10.8.

Eu tentei usar o iptables, mas parece que o tráfego entre os clientes nunca sai do tun0, então eu não posso bloqueá-lo.

O que posso fazer? Existe alguma regra iptables que pode bloquear o tráfego dentro de uma interface? (tun0)

client-to-client está NOT ativado no server.conf, mas por alguma razão os usuários ainda podem pingar uns aos outros e se comunicar uns com os outros.

    
por Scott E. Strasser 01.10.2015 / 22:19

2 respostas

2

Parece que você tem a opção "client-to-client" ativada em seu servidor openvpn config. Você deve apenas removê-lo porque o openvpn não roteia o tráfego de cliente para cliente por padrão.

Aqui está o texto da man-page do openvpn:

client-to-client

Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The --client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-origi‐ nating traffic to the TUN/TAP interface.

When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server. Don't use this option if you want to firewall tunnel traffic using custom, per-client rules.

    
por 01.10.2015 / 22:26
1

Adicione uma regra ao servidor para bloquear todo o tráfego entre clientes, por exemplo: 

sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP
    
por 18.10.2016 / 19:35

Tags

Regra personalizada do AD FS para a isenção do Active 365 do Office 365 MFA Limite de taxa usando haproxy por URL por ip