我们在 Ubuntu 服务器上运行 IKEv2 VPN。我们的一位用户在使用我们的 VPN 时运行了 NetScan,这让服务器提供商很不高兴。
这是服务器提供商的建议:
我们建议您设置本地防火墙并阻止发往以下前缀的传出流量
https://www.rfc-editor.org/rfc/rfc1918
> 10.0.0.0/8
> 172.16.0.0/12
> 192.168.0.0/16
请在您的服务器上屏蔽此范围的 RFC1918。我们希望避免您进一步滥用网络。
这是否很简单
iptables -A FORWARD -d 10.0.0.0/8 -j REJECT
iptables -A FORWARD -d 172.16.0.0/12 -j REJECT
iptables -A FORWARD -d 192.168.0.0/16 -j REJECT
或者我是否将其简化了?
答案1
是的,但这可能会阻止您的 LAN 或 VPN 对等通信,具体取决于您的设置。我建议指定一个连接到您的服务器提供商的传出接口。像这样:
export INET_IFACE=ethX
iptables -A FORWARD -o $INET_IFACE -d 10.0.0.0/8 -j REJECT
iptables -A FORWARD -o $INET_IFACE -d 172.16.0.0/12 -j REJECT
iptables -A FORWARD -o $INET_IFACE -d 192.168.0.0/16 -j REJECT
将 ethX 更改为连接到 Internet 的接口。对每个此类接口重复此操作。
如果您只有一个接口连接到 Internet,并且没有任何 LAN 和/或 VPN 间链接,那么您可以按照-o
您提到的那样进行操作。