我正在尝试在我的服务器上设置一个基本的 IPTables,它将允许 HTTP/SSH 访问,并允许将服务器用作 OpenVPN 隧道。以下是我当前的规则设置 - 问题是 OpenVPN 查询(端口 1194)似乎由于此规则集而被丢弃。
登录 VPN 后 ping 一个网站会得到以下响应:
来自 10.8.0.1 的 icmp_seq 1 92 字节的请求超时:目标端口不可达
当我清除 IPTable 规则时,从 VPN 进行 ping 操作可以正常工作。有什么想法吗?
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
答案1
您的 VPN 服务器(和客户端)是在 TCP 还是 UDP 上配置的?您只需打开 TCP。在拒绝规则前放置一个日志,以查看防火墙拒绝了哪些内容:然后您可以相应地更改规则。