Назад | Перейти на главную страницу

Shorewall блокирует исходящий трафик на один IP-адрес в туннеле vpn

Я пытаюсь настроить shorewall для блокировки трафика на один конкретный IP-адрес, который маршрутизируется через туннель openvpn.

Наивно у меня есть следующие правила покупки

#Don't allow connection pickup from the net
Invalid(DROP)   net     all     tcp

# Openvpn
ACCEPT  net     $FW     udp 1194

# All out
ACCEPT  $FW     net     all
DROP all net:146.aaa.yyy.xx

#PING
ACCEPT  $FW     loc     icmp
#ACCEPT $FW     net     icmp

Но я все еще могу ftp на 146.aaa.yyy.xx.

Этот трафик направляется через второе клиентское VPN-соединение на другой сервер, который имеет соединение с сетью 146.aaa, включая входящее соединение openvpn, показанное здесь.

Итак, я предполагаю, что маршрутизация vpn для клиентского соединения происходит до того, как это правило доходит до него (или мой заказ неправильный, когда сначала принимается исходящий трафик)?

Я на правильном пути здесь или лаю не на то дерево?