从内核文档中了解 Tun/Taphttps://www.kernel.org/doc/Documentation/networking/tuntap.txt很明显,这个接口没有硬件支持。如果我设置 iptables 防火墙以拒绝除 tun0 之外的所有接口上的进出流量,OpenVPN 客户端实际上如何获取线路上的数据?
当内核决定何时将数据传输到网络上时,对于 tun0 接口,它会将数据发送到用户空间程序(openvpn 客户端)。我假设这个程序必须准备隧道数据,然后打开套接字并使用非虚拟接口(如 eth0)实际发送数据。但这应该被防火墙阻止。但它确实有效。
OpenVPN 客户端是否以某种方式绕过防火墙机制(iptables)?
答案1
iptables 会阻止包括 openvpn 在内的所有流量,除非客户端在白名单中,否则无法建立隧道。但是,一旦建立隧道,只需打开 openvpn 端口即可绕过任何类型的流量/端口。因为无论底层流量如何,所有数据包都将封装在 openvpn 包中。