Roteamento baseado em política no servidor OpenVPN

2

Estou tentando configurar um servidor OpenVPN como proxy reverso para dispositivos móveis / desktop, que podem retransmitir o tráfego com base em determinadas políticas:

  • apenas as solicitações para endereços IP listados na lista branca serão encaminhadas diretamente (MASQUERADE para eth)
  • outros precisarão passar por outra camada de proxy (já que o próprio servidor não tem acesso direto a endereços não listados em branco)

Minha configuração atual (extra) do iptables é:

iptables -t nat -N POLICY

iptables -t nat -A POLICY -d server_ip -j RETURN

iptables -t nat -A POLICY -d 0.0.0.0/8 -j RETURN
iptables -t nat -A POLICY -d 10.0.0.0/8 -j RETURN
iptables -t nat -A POLICY -d 127.0.0.0/8 -j RETURN
iptables -t nat -A POLICY -d 169.254.0.0/16 -j RETURN
iptables -t nat -A POLICY -d 172.16.0.0/12 -j RETURN
iptables -t nat -A POLICY -d 192.168.0.0/16 -j RETURN
iptables -t nat -A POLICY -d 224.0.0.0/4 -j RETURN
iptables -t nat -A POLICY -d 240.0.0.0/4 -j RETURN


iptables -t nat -A POLICY -p tcp -j REDIRECT --to-port 13579

iptables -t nat -A PREROUTING -p tcp -j POLICY

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

Onde 13579 é a porta do proxy, 10.8.0.0 é o pool DHCP, eth1 é um dispositivo de rede com acesso externo à Internet.

Agora, o próprio servidor OpenVPN está configurado corretamente, o cliente pode estabelecer conexão, pode acessar endereços IP listados em branco.

No entanto, as regras do iptables não são. Outras solicitações que deveriam passar por uma rotina "cliente - > servidor - > proxy - > servidor - > cliente" não funcionam como esperado, sintomas:

  • o proxy está funcionando (confirmado por outros meios), mas está recebendo toneladas de solicitações.
  • O cliente OpenVPN não pode acessar endereços IP diferentes dos da lista branca.

Eu estou querendo saber para onde o tráfego foi depois que eles foram retornados por proxy? Como posso fazer o servidor OpenVPN funcionar como esperado? ...: (

    
por SnoopyGuo 13.11.2015 / 17:25

0 respostas