如何在客户端使用 no-pull 的情况下限制服务器端的 openvpn 路由

Question

据我了解，路线范围是在文件中指定的server.conf，例如：

# Add route to Client routing table for the OpenVPN Server 
push "route 10.8.0.1 255.255.255.255" 
# Add route to Client routing table for the OpenVPN Subnet 
push "route 10.8.0.0 255.255.255.0"

这会告诉您的 VPN 网关应该向连接的客户端推送什么路由。

如果你担心某些恶意客户端在客户端配置静态路由以通过 VPN 隧道发送额外流量，你可以不能停止这种行为，除非您对他们的机器有管理控制权并可以禁止他们直接操作路由表。

然而，你能不过，你需要确保 VPN 网关上的防火墙配置为只允许你想要通过的流量。假设你使用的是普通的 Linux 机器，带有典型的iptables/联邦快递作为您的 VPN 网关，您只需要确保它们配置了特定的规则，准确标识应该允许哪些流量，然后其他所有内容都会被阻止，因此即使用户确实通过隧道发送了一些意外流量，您的网关也会丢弃它。

Answer 1

据我了解，路线范围是在文件中指定的server.conf，例如：

# Add route to Client routing table for the OpenVPN Server 
push "route 10.8.0.1 255.255.255.255" 
# Add route to Client routing table for the OpenVPN Subnet 
push "route 10.8.0.0 255.255.255.0"

这会告诉您的 VPN 网关应该向连接的客户端推送什么路由。

如果你担心某些恶意客户端在客户端配置静态路由以通过 VPN 隧道发送额外流量，你可以不能停止这种行为，除非您对他们的机器有管理控制权并可以禁止他们直接操作路由表。

然而，你能不过，你需要确保 VPN 网关上的防火墙配置为只允许你想要通过的流量。假设你使用的是普通的 Linux 机器，带有典型的iptables/联邦快递作为您的 VPN 网关，您只需要确保它们配置了特定的规则，准确标识应该允许哪些流量，然后其他所有内容都会被阻止，因此即使用户确实通过隧道发送了一些意外流量，您的网关也会丢弃它。

如何在客户端使用 no-pull 的情况下限制服务器端的 openvpn 路由

答案1

相关内容