Eu quero bloquear o acesso a determinados sites / IPs de todos os clientes conectados à VPN (pptpd ou OpenVPN).
Esta regra:
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -d IP_address -j REJECT
está funcionando apenas localmente.
Servidor (teste de ping) não pode acessar o IP bloqueado, mas os clientes via VPN podem.
Como posso bloquear todo o tráfego para o IP especificado para clientes VPN?
A cadeia OUTPUT aplica-se apenas aos pacotes gerados localmente. Para pacotes que são roteados através do sistema, é necessário usar a corrente FORWARD .
Então, você precisa usar este comando:
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -d IP_address -j REJECT