OpenVPN & iptables - permite o tráfego para determinados hosts específicos no lado do servidor

Navegue suas respostas
1

Eu configurei um servidor OpenVPN em um Raspberry Pi e o configurei de acordo com o HOWTO . Eu quero expor certos hosts da sub-rede do servidor (192.168.123.0/24) os clientes.

eu usei

push route 192.168.123.0 255.255.255.0

no arquivo server.conf. Também configuro iptables da seguinte maneira: 

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#allow ssh and vpn on pi - working fine
...

De acordo com o OpenVPN - políticas de acesso , é necessário permitir o encaminhamento de tráfego para um host específico ou a sub-rede inteira (linhas extraídas do HOWTO - esses endereços não são meus intervalos de endereços reais): 

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT

# Sysadmin rule
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT

# Contractor rule
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT

Nada disso ajuda. No entanto, se eu definir 

iptables -P FORWARD ACCEPT

e nada mais, eu posso ver todos os hosts, o que eu não quero. O que estou fazendo errado?

Obrigado pela sua ajuda.

    
por bash.d 10.04.2018 / 06:49

1 resposta

0

Erro na camada 8 o tempo todo!

Esqueci-me de permitir a passagem do tráfego através do meu dispositivo de túnel.

A solução é 

#Set default policy of chain 
iptables -P FORWARD DROP

#allow traffic to route from VPN subnet to specific host in subnet
iptables -A FORWARD -i tun0 -s {VPN subnet} -d {host in server subnet} -j ACCEPT
#allow traffic from host in server subnet back to VPN subnet
iptables -A FORWARD -o tun0 -s {host in server subnet} -d {VPN subnet}

Eu fui inspirado por este post aqui:

link

    
por 10.04.2018 / 19:05

Tags

O diretório de backup do unix do Mac não pode ser listado na linha de comando Pulseaudio loopback mudando a fonte quando nova fonte é conectada