Shorewall 阻止到 VPN 隧道上一个 IP 的出站流量

Shorewall 阻止到 VPN 隧道上一个 IP 的出站流量

我正在尝试设置 shorewall 来阻止通过 openvpn 隧道路由到某个特定 IP 地址的流量。

我天真地制定了以下海岸墙规则

#Don't allow connection pickup from the net
Invalid(DROP)   net     all     tcp

# Openvpn
ACCEPT  net     $FW     udp 1194

# All out
ACCEPT  $FW     net     all
DROP all net:146.aaa.yyy.xx

#PING
ACCEPT  $FW     loc     icmp
#ACCEPT $FW     net     icmp

但我仍可以通过 ftp 连接到 146.aaa.yyy.xx。

该流量通过第二个客户端 vpn 连接路由到另一台与 146.aaa 网络有连接的服务器,此处显示的入站 openvpn 连接净额。

所以我假设客户端连接的 vpn 路由在该规则到达之前发生(或者我的顺序错误,首先接受出站)?

我这样做是否正确,还是错了方向?

相关内容