Aqui está o meu ambiente.
Estou tendo problemas para acessar apenas a cadeia de transmissão em 192.168.1.26 em minha LAN interna quando estou em VPN. Isso acontece porque na guia 'OpenVPN Clients' na página do roteador, na opção 'Redirect Internet Traffic' , Estou usando a configuração "Regras estritas". A utilização da opção strict aumenta a segurança, mas requer que uma regra seja usada para segmentar especificamente a interface do túnel para permitir que o tráfego seja encaminhado. Quando eu mudo para apenas 'Regras de Política', posso fazer ping e acessar o servidor de Transmissão, mas quero aumentar a segurança. Por favor me ajude a escrever esta regra. Aqui está a explicação de Merlin de seu changelog para 380.66 (12-maio-2017),
NEW: Added new Internet redirection mode to OpenVPN clients called "Policy Rule (Strict)". The difference from the existing "Policy Rule" mode is that in strict mode, only rules that specifically target the tunnel's interface will be used. This ensures that you don't leak traffic through global or other tunnel routes, however it also means any static route you might have defined at the WAN level will not be copied either.
Isso me leva ao iptables. Aqui está o meu script nat-start. Meu objetivo é ter um script semi-simples com alguma segurança enquanto me permite acessar o IP do Trasmission. Você verá no meu script que eu tentei linhas diferentes e quando elas não funcionaram, eu apenas as comentei.
#!/bin/sh
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan1 -j DROP
#iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o tun21 -j MASQUERADE
iptables -t nat -I PREROUTING -i tun11 -p tcp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -t nat -I PREROUTING -i tun11 -p udp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -I FORWARD -i tun11 -p udp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun11 -p tcp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT
Qualquer ajuda é muito apreciada.