Назад | Перейти на главную страницу

Помощь по настройке iptables для openvpn

Я пытаюсь настроить сервер openvpn для группы людей, но у меня проблема с настройкой правил iptables.

в коробке есть 5 выделенных IP-адресов, и я хочу использовать один из IP-адресов, который не является исходящим IP-адресом по умолчанию, также я хочу ограничить открытые порты на vpn до (80 443 53 ...) и заблокировать остальные.

openvpn client ip range is : 10.1.8.2 - 10.1.8.255
openvpn server ip : 10.1.8.1
outgoing ip address : a.b.c.d ( real ip )
allowed ports : 80 443 53 21

после долгих исследований я нашел следующую команду, которая могла бы сработать для меня?:

iptables -t nat -A PREROUTING -p TCP -m multiport --dports 21,53,80,443 -m iprange --src-range 10.1.8.2-10.1.8.255 -j DNAT --to-destination A.B.C.D

Основная проблема заключается в том, что iptables перенаправляет весь трафик со всех ips / портов, но я хочу вручную определить iprange и порты и заблокировать запрос сброса трафика от клиентов openvpn ...

Меня это немного смущает. Сервер OpenVPN позаботится о маршрутизации и NAT для клиентов VPN, поэтому вам не нужно делать это с помощью iptables. В общем, OpenVPN также требует только один порт, и многие люди предпочитают делать это через порт 443, поскольку во многих отелях по всему миру этот порт разрешен (тогда как другие, такие как порт 500, часто не допускаются).

Вам понадобится правило INPUT, чтобы открыть соответствующий порт в брандмауэре. В зависимости от настроек вашей политики вам также могут потребоваться правила ВЫВОДА как для интернет-интерфейса, так и для интерфейса туннеля. И, опять же, в зависимости от настроек вашей политики, вам могут потребоваться правила FORWARD, чтобы разрешить поток трафика между соответствующими интерфейсами (например, туннель и ваш внутренний сетевой интерфейс). Все эти правила можно изменить, чтобы ограничить диапазоны IP-адресов и / или диапазоны портов.

Если ваш компьютер перенаправляет трафик со всех IP-адресов и всех портов, то, скорее всего, ваша политика по умолчанию для INPUT, OUTPUT и FORWARD - ACCEPT, и вам нужно изменить ее на DROP. Прочтите страницу руководства по iptables для получения более подробной информации.