У меня есть сервер OpenVPN, работающий на компьютере Debian. Я бы хотел заблокировать весь трафик между клиентами, подключенными к этому серверу OpenVPN.
Сервер имеет локальный IP-адрес 10.10.10.1, а клиенты получают IP-адреса между 10.10.10.2-10.10.10.8.
Я пробовал использовать iptables, но кажется, что трафик между клиентами никогда не покидает tun0, поэтому я не могу его заблокировать.
Что я могу сделать? Есть ли какое-то правило iptables, которое может блокировать трафик внутри интерфейса? (tun0)
клиент-клиент НЕ включен в server.conf, но по какой-то причине пользователи все еще могут пинговать друг друга и общаться друг с другом.
Похоже, у вас включена опция "клиент-клиент" в конфигурации openvpn вашего сервера. Вы должны просто удалить его, потому что openvpn по умолчанию не направляет трафик от клиента к клиенту.
Вот текст с man-страницы openvpn:
от клиента к клиенту
Поскольку режим сервера OpenVPN обрабатывает несколько клиентов через один интерфейс tun или tap, это фактически маршрутизатор. Флаг --client-to-client сообщает OpenVPN внутреннюю маршрутизацию межклиентского трафика, а не проталкивание всего исходящего от клиента трафика на интерфейс TUN / TAP.
Когда используется эта опция, каждый клиент будет «видеть» других клиентов, которые в данный момент подключены. В противном случае каждый клиент будет видеть только сервер. Не используйте эту опцию, если вы хотите туннелировать трафик межсетевого экрана с использованием настраиваемых правил для каждого клиента.
Добавьте правило на сервере, чтобы блокировать весь трафик между клиентами, например:
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j DROP