我在 centOS 6.5 系统上设置了 openVPN 2.3,我可以使用我的 Windows 客户端连接到服务器。客户端获取 IP 地址和 DNS 条目,但是当我想使用我的客户端访问互联网时,它不起作用。
我在“/etc/sysctl.conf”中设置了“net.ipv4.ip_forward = 1”。并添加了防火墙规则“iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE”。
我的客户端仅执行“tracert 8.8.8.8”就超时了。
有什么提示或建议可以尝试吗?谢谢
以下是我的 IPTable 配置
# Generated by iptables-save v1.4.7 on Sat Feb 13 16:18:46 2016
*mangle
:PREROUTING ACCEPT [2300:167838]
:INPUT ACCEPT [2300:167838]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1911:1150640]
:POSTROUTING ACCEPT [1911:1150640]
COMMIT
# Completed on Sat Feb 13 16:18:46 2016
# Generated by iptables-save v1.4.7 on Sat Feb 13 16:18:46 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:1699]
:fail2ban-SSH - [0:0]
:fail2ban-sasl - [0:0]
:fail2ban-submission - [0:0]
-A INPUT -p tcp -m tcp --dport 25 -j fail2ban-sasl
-A INPUT -p tcp -m tcp --dport 587 -j fail2ban-submission
-A INPUT -p tcp -m tcp --dport 2022 -j fail2ban-SSH
-A INPUT -p tcp -m tcp --dport 25 -j fail2ban-sasl
-A INPUT -p tcp -m tcp --dport 587 -j fail2ban-submission
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 587 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2022 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-SSH -j RETURN
-A fail2ban-sasl -j RETURN
-A fail2ban-submission -j RETURN
COMMIT
# Completed on Sat Feb 13 16:18:46 2016
# Generated by iptables-save v1.4.7 on Sat Feb 13 16:18:46 2016
*nat
:PREROUTING ACCEPT [88:5707]
:POSTROUTING ACCEPT [29:2145]
:OUTPUT ACCEPT [29:2145]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
于 2016 年 2 月 13 日星期六 16:18:46 完成
答案1
我可以让它运行。我必须添加额外的转发规则
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -i p4p1 -o tun0 -j ACCEPT
iptables -I FORWARD -o p4p1 -i tun0 -j ACCEPT
其中“p4p1”是我的以太网接口。请从“ifconfg”命令中获取接口的正确名称。