我在 Linux 机器上运行 OpenVPN。VPN 服务器有一个公共 IP 地址 (xxxx),VPN 客户端在“tun”设备上分配了地址 10.8.0.0\24。我有一个 IPTables 规则可以将 10.8.0.0\24 NAT 伪装成公共 IP 地址。
为了让 VPN 服务器运行,我必须启用 IP 转发(所以我设置了 net.ipv4.conf.default.forwarding=1)。
... 换句话说,这正是 OpenVPN 教程所说的,没有花哨的技巧。
这一切都有效,但我担心启用转发部分。我认为机器现在会将数据包从任何 IP 地址转发到任何 IP 地址,这似乎不合适。由于它有一个可公开访问的 IP,这尤其糟糕。
是否有任何防火墙规则建议来限制不需要的转发行为?我认为任何答案都将是 FORWARD 链中的一个或多个 IPTables 规则,但这就是我遇到的问题。
谢谢!
如果您将这些规则用于转发表,您应该没问题。
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT
您可以将规则放在文件 /etc/sysconfig/iptables 中并重新启动防火墙。对于命令行试用先做
iptables -F
删除转发流量的默认拒绝并在上述三个规则中的每一个之前添加'iptables'。
| 归档时间: |
|
| 查看次数: |
25946 次 |
| 最近记录: |