Eu configurei um laptop mais antigo como um servidor OpenVPN para minha rede doméstica (e um servidor dwarffortress, mas isso é irrelevante). Esta é a primeira vez que eu configurei algo assim - eu queria uma maneira segura de poder acessar minha rede doméstica de fora.
De qualquer forma, consegui que funcionasse (finalmente descobri que precisava redirecionar o 1194 para o meu roteador), mas queria ter certeza de que não abriria as coisas de maneira errada. Estas regras do iptables parecem razoáveis?:
# Generated by iptables-save v1.4.21 on Sun Dec 28 02:16:10 2014
*nat
:PREROUTING ACCEPT [3:517]
:INPUT ACCEPT [3:517]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.88.0/24 -o wlp3s0 -j MASQUERADE
COMMIT
# Completed on Sun Dec 28 02:16:10 2014
# Generated by iptables-save v1.4.21 on Sun Dec 28 02:16:10 2014
*filter
:INPUT ACCEPT [323:24107]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [152:13348]
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 28 02:16:10 2014
Edit: Ok, aqui estão minhas regras atuais:
# Generated by iptables-save v1.4.21 on Mon Dec 29 03:36:02 2014
*filter
:INPUT DROP [14:2325]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:144]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i wlp3s0 -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o wlp3s0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Dec 29 03:36:02 2014
# Generated by iptables-save v1.4.21 on Mon Dec 29 03:36:02 2014
*nat
:PREROUTING ACCEPT [389:94808]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [1:72]
:POSTROUTING ACCEPT [1:72]
-A POSTROUTING -s 192.168.88.0/24 -o wlp3s0 -j MASQUERADE
COMMIT
# Completed on Mon Dec 29 03:36:02 2014
Eu posso fazer conexões SSH internas à minha rede (embora pareça mais lento conectar / pedir senha do que antes), mas agora não consigo fazer uma conexão OpenVPN de fora.
Não, não é suficiente para ACCEPT tráfego na interface tun . Você também precisará abrir
Porta 1194 / udp em INPUT chain.
-A INPUT -i wlp3s0 -j ACCEPT -m udp -p udp --dport 1194 -m state --state NEW -j ACCEPT
Você também deve configurar uma política padrão para INPUT chain para DROP . Agora você permite todas as conexões de entrada!
*filter
:INPUT DROP [323:24107]
HTH