Я пытаюсь настроить shorewall для блокировки трафика на один конкретный IP-адрес, который маршрутизируется через туннель openvpn.
Наивно у меня есть следующие правила покупки
#Don't allow connection pickup from the net
Invalid(DROP) net all tcp
# Openvpn
ACCEPT net $FW udp 1194
# All out
ACCEPT $FW net all
DROP all net:146.aaa.yyy.xx
#PING
ACCEPT $FW loc icmp
#ACCEPT $FW net icmp
Но я все еще могу ftp на 146.aaa.yyy.xx.
Этот трафик направляется через второе клиентское VPN-соединение на другой сервер, который имеет соединение с сетью 146.aaa, включая входящее соединение openvpn, показанное здесь.
Итак, я предполагаю, что маршрутизация vpn для клиентского соединения происходит до того, как это правило доходит до него (или мой заказ неправильный, когда сначала принимается исходящий трафик)?
Я на правильном пути здесь или лаю не на то дерево?