Какие правила iptables разрешают прохождение инкапсулированного трафика и какие правила управляют пакетами после инкапсуляции при использовании туннеля openvpn, использующего устройство tun? В принципе, мне интересно, как порядок операций работает с iptables и openvpn, а также как это связано с цепочками.
Открытый текстовый трафик будет входить и выходить из устройств tunX; вы можете найти -i tun+ и -o tun+ параметры iptables, которые соответствуют любому интерфейсу tun, полезные для обработки этого.
Зашифрованный трафик будет UDP / TCP на порт 1194 или иначе, как вы указали, на вашем интерфейсе Ethernet. При фильтрации трафика на сервер не забудьте разрешить зашифрованные пакеты OpenVPN.
Что касается цепочек, считается, что входящий зашифрованный трафик завершается на сервере openvpn, так что это цепочка INPUT; Считается, что исходящий зашифрованный трафик исходит от сервера, так что это цепочка OUTPUT. Трафик, проходящий между вашей внутренней сетью и tunX За интерфейсы отвечает цепочка FORWARD.
Для трафика, проходящего через туннель, вам просто нужно настроить правила FORWARD, чтобы разрешить трафик от интерфейса tun к интерфейсу eth. Например, следующее правило разрешает доступ от tun0 к RDP для определенного диапазона.
-A ВПЕРЕД -i tun0 -p tcp --dport 3389 -d 192.168.0.0/24 -j ПРИНЯТЬ
После правил пересылки, если у вас есть установленное / связанное правило на интерфейсе eth, оно разрешит трафик обратно.