我有一个服务器客户端 openvpn 设置,所有客户端流量都通过 udp 通过隧道传输。我想限制客户端在连接到我的 vpn 时可以使用的应用程序类型。首先,id 就像客户端能够浏览一样。
您将如何使用 iptables 来实现这一点?
您会将这些限制放在何处,即服务器的 tun 适配器还是其面向公众的 eth0 适配器?
******* 更新 ***** 根据 PQDs 的建议,我更新了我的 iptables,但出于某种原因,它允许转发其他端口上的流量。为了测试,我尝试通过 torrent 作为 vpn 上的客户端下载 ubuntu,它运行正常,但实际上却不能(这不是 torrent 客户端中的端口号的问题)。
有人能发现我的 iptables 中的错误吗?
#!/bin/bash
SERVER_IP="***.***.***.***"
HOME_IP="***.***.***.***"
CLIENT_IP_RANGE="***.***.***.***/**"
# Flush all current rules from iptables
iptables -F
# Allow SSH connections on tcp port 22
iptables -A INPUT -p tcp --dport 22 -s $HOME_IP -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -d $HOME_IP -j ACCEPT
#Only ping my server from my home
iptables -A INPUT -p icmp --icmp-type 8 -s $HOME_IP -j ACCEPT
# Set default policies for INPUT, FORWARD and OUTPUT chains
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Set access for localhost
#
iptables -A INPUT -i lo -j ACCEPT
# Accept packets belonging to established and related connections
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Setup OpenVpn
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -i venet0 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i venet0 -p tcp --dport 1194 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $CLIENT_IP_RANGE -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $CLIENT_IP_RANGE -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -s $CLIENT_IP_RANGE -p icmp -j ACCEPT
iptables -A FORWARD -s $CLIENT_IP_RANGE -j DROP
#Setup NAT for openvpn
iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE
# Save settings
#
/sbin/service iptables save
使用 iptables -nL FORWARD 进行更新
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 10.254.1.0/24 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 10.254.1.0/24 0.0.0.0/0 tcp dpt:8000
ACCEPT icmp -- 10.254.1.0/24 0.0.0.0/0
DROP all -- 10.254.1.0/24 0.0.0.0/0
答案1
我会根据源 IP 来执行此操作 [ 在此示例中,我假设 VPN 用户的地址来自 10.0.15.0/24 ]:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.0.15.0/24 -p tcp --dport 80 --j ACCEPT
iptables -A FORWARD -s 10.0.15.0/24 -p icmp --j ACCEPT
iptables -A FORWARD -s 10.0.15.0/24 --j DROP
请记住,更聪明的用户可能会通过 http/https 传输不需要的流量