Назад | Перейти на главную страницу

Как заблокировать этот диапазон RFC1918 на сервере Ubuntu?

Мы запускаем IKEv2 VPN на сервере Ubuntu. Один из наших пользователей запустил NetScan во время использования нашей VPN, что расстроило поставщика сервера.

Это то, что рекомендовал поставщик сервера:

Мы рекомендуем вам настроить локальный брандмауэр и заблокировать исходящий трафик на следующие префиксы

https://tools.ietf.org/html/rfc1918

> 10.0.0.0/8
> 172.16.0.0/12
> 192.168.0.0/16

Пожалуйста, заблокируйте этот диапазон RFC1918 на своем сервере. Мы хотели бы избежать дальнейшего злоупотребления сетью с вашей стороны.

Это так просто, как

iptables -A FORWARD -d 10.0.0.0/8 -j REJECT
iptables -A FORWARD -d 172.16.0.0/12 -j REJECT
iptables -A FORWARD -d 192.168.0.0/16 -j REJECT

Или я это упрощаю?

Да, но это может заблокировать вашу одноранговую связь по локальной сети или vpn в зависимости от ваших настроек. Я бы предпочел указать исходящий интерфейс, который подключен к вашему провайдеру сервера. Как это:

export INET_IFACE = ethX
iptables -A FORWARD -o $INET_IFACE -d 10.0.0.0/8 -j REJECT
iptables -A FORWARD -o $INET_IFACE -d 172.16.0.0/12 -j REJECT
iptables -A FORWARD -o $INET_IFACE -d 192.168.0.0/16 -j REJECT

Измените ethX на интерфейс, подключенный к Интернету. Повторите для каждого такого интерфейса.

Если у вас есть только один интерфейс, который подключен только к Интернету, и у вас нет каналов LAN и / или между VPN, то вы можете обойтись без -o как вы упомянули.