我有一台bastion通过 OpenVPN 接受用户的服务器。堡垒有两个网络适配器:一个在互联网上,另一个在私有网络上。每个用户都有不同的 IP 地址和可以在私有网络内访问的不同位置。
例如:用户 John10.8.0.1在 OpenVPN 上拥有静态 IP。John 只能10.8.1.1在内部网络内访问此 IP 地址。John 尝试访问的任何其他地方都应被阻止。
我尝试做这样的事情:
iptables -A FORWARD -p tcp --source 10.8.0.1 --destination 10.8.1.1 -j ACCEPT
INPUT、OUTPUT 和 FORWARD 的默认策略是阻止。
我原本以为这会允许 John 访问他的资源。但实际上他的所有请求都被阻止了。
我做错了什么?
更新 1
添加完整代码:
#!/bin/sh
# flush all
iptables -F
iptables -X
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Allow unlimited traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -p tcp --source 10.8.0.1 --destination 10.8.1.1 -j ACCEPT
# make sure nothing comes or goes out of this box
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP