Мы запускаем IKEv2 VPN на сервере Ubuntu. Один из наших пользователей запустил NetScan во время использования нашей VPN, что расстроило поставщика сервера.
Это то, что рекомендовал поставщик сервера:
Мы рекомендуем вам настроить локальный брандмауэр и заблокировать исходящий трафик на следующие префиксы
https://tools.ietf.org/html/rfc1918
> 10.0.0.0/8
> 172.16.0.0/12
> 192.168.0.0/16
Пожалуйста, заблокируйте этот диапазон RFC1918 на своем сервере. Мы хотели бы избежать дальнейшего злоупотребления сетью с вашей стороны.
Это так просто, как
iptables -A FORWARD -d 10.0.0.0/8 -j REJECT
iptables -A FORWARD -d 172.16.0.0/12 -j REJECT
iptables -A FORWARD -d 192.168.0.0/16 -j REJECT
Или я это упрощаю?
Да, но это может заблокировать вашу одноранговую связь по локальной сети или vpn в зависимости от ваших настроек. Я бы предпочел указать исходящий интерфейс, который подключен к вашему провайдеру сервера. Как это:
export INET_IFACE = ethX
iptables -A FORWARD -o $INET_IFACE -d 10.0.0.0/8 -j REJECT
iptables -A FORWARD -o $INET_IFACE -d 172.16.0.0/12 -j REJECT
iptables -A FORWARD -o $INET_IFACE -d 192.168.0.0/16 -j REJECT
Измените ethX на интерфейс, подключенный к Интернету. Повторите для каждого такого интерфейса.
Если у вас есть только один интерфейс, который подключен только к Интернету, и у вас нет каналов LAN и / или между VPN, то вы можете обойтись без -o
как вы упомянули.