阻止某些本地用户访问 VPN

阻止某些本地用户访问 VPN

我有一个连接到 VPN 并允许访问 10.121.0.0/16 的 Linux 机器。我个人经常使用这个网络,最好让 vpnc 一直处于启动和运行状态。

但是,我的机器上有些用户不应该被允许访问这个 VPN,那么有没有办法可以阻止某些用户访问某个网络呢?

编辑:需要澄清的是,用户是本地用户,他们出于各种目的(编辑他们的网站、在 IRC 上聊天等等)进入 Linux 机器。VPN 连接由我从 Linux 机器发起,用于我需要访问的一些内容。我的机器不充当路由器。

答案1

Linux 机器使用 vpnc 连接到 10.121.0.0/16,用户是登录 Linux 机器还是将其用作路由器?

如果它充当路由器,请使用 iptables 仅接受来自您的 IP 的该段流量。假设 eth0 在网络内部,eth1 转到每个人都可以访问的其他网络(互联网),而 tun0 是 vpnc 接口,以下内容将伪装您的流量从您的 ip(在本例中为 10.1.1.199)到 tun0:

iptables -t nat -A POSTROUTING -S 10.1.1.199 -o tun0 -j MASQUERADE

您还可以接受来自您的 IP 的数据包并丢弃来自其他 IP 的数据包:

iptables -A INPUT -s 10.1.1.199 -d 10.121.0.0/16 -j ACCEPT
iptables -A INPUT -d 10.121.0.0/16 -j DROP

相关内容