Forwarding IP di Linux per OpenVPN – installazione corretta del firewall?

Ho OpenVPN in esecuzione su una macchina Linux. Il server VPN dispone di un indirizzo IP pubblico (xxxx) ei client VPN sono assegnati indirizzi nel dispositivo "tun" in 10.8.0.0 \ 24. Ho una regola IPTables a NAT masquerade 10.8.0.0 \ 24 sull'indirizzo IP pubblico.

Per get il server VPN in esecuzione, ho dovuto abilitare l'inoltro IP (quindi ho impostato net.ipv4.conf.default.forwarding = 1).

  • collegarsi a un server VPN di terze parti, ma non utilizzare come path predefinito?
  • Due NIC, uno con IP statico e un DHCP. Routing delle politiche IP
  • Routing delle politiche Linux - i pacchetti non tornano
  • Imansible risolvere il problema: iptables: Nessuna catena / target / corrispondenza a tale nome
  • OpenVPN OpenSSL voce 22: data di scadenza non valida
  • iptables mport module non trovato
  • … In altre parole, è esattamente quello che dice l'OpenVPN tutorial, senza trucchi fantasiosi.

    Tutto questo funziona, ma sono preoccupato per la parte inoltro abilitante. Penso che la macchina inoltrerà ora pacchetti da qualsiasi indirizzo IP a qualsiasi indirizzo IP, che non sembra opportuno. Poiché ha un IP accessibile a livello pubblico, questo è particolarmente difettoso.

    Esistono suggerimenti per regole firewall per limitare il comportmento di inoltro non desiderato? Penso che qualsiasi risposta sarà una o più regole di IPTables nella catena FORWARD, ma questo è where sono bloccato.

    Grazie!

  • Calcolo della capacità del backplane di un interruttore
  • Qual è il corretto Hyper-V R2 con la configuration NICs di Teamed Broadcom BCM5709C (VMQ, TOE, LSO, CSO, ecc.)?
  • Come scoprire il motivo per cui l'interface di networking sta eliminando i pacchetti?
  • Come impostare la connessione in ingresso tramite modem per il sistema non in linea di Windows 7
  • come inoltrare la richiesta IP a una port specifica
  • Problema di networking con ESXi 4.1 durante grandi trasferimenti di file (migrazione VM)
  • 2 Solutions collect form web for “Forwarding IP di Linux per OpenVPN – installazione corretta del firewall?”

    Se utilizzi queste regole per la tabella di inoltro, dovresti essere soddisfacente.

    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 10.8.0.0/24 -j ACCEPT -A FORWARD -j REJECT 

    È ansible inserire le regole nel file / etc / sysconfig / iptables e riavviare il firewall. Per la prima prova di row di command fare

      iptables -F 

    per rimuovere il rifiuto predefinito del traffico di inoltro e aggiungere 'iptables' prima di ciascuna delle tre regole di cui sopra.

    Ecco un sottoinsieme di quello che ho installato sul mio gateway openvpn:

     iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT # vpn to vpn iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT # vpn to ethernet iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT # ethernet to vpn 

    Si noti che questo è solo un sottoinsieme; il resto della regola fa le cose standard NAT.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.