我正在尝试设置 shorewall 来阻止通过 openvpn 隧道路由到某个特定 IP 地址的流量。
我天真地制定了以下海岸墙规则
#Don't allow connection pickup from the net
Invalid(DROP) net all tcp
# Openvpn
ACCEPT net $FW udp 1194
# All out
ACCEPT $FW net all
DROP all net:146.aaa.yyy.xx
#PING
ACCEPT $FW loc icmp
#ACCEPT $FW net icmp
但我仍可以通过 ftp 连接到 146.aaa.yyy.xx。
该流量通过第二个客户端 vpn 连接路由到另一台与 146.aaa 网络有连接的服务器,此处显示的入站 openvpn 连接净额。
所以我假设客户端连接的 vpn 路由在该规则到达之前发生(或者我的顺序错误,首先接受出站)?
我这样做是否正确,还是错了方向?