在 OpenVPN 的默认配置中,在客户端到客户端行中有这样的注释被阻止:
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
多年来,我一直在想他们所说的“适当”防火墙接口到底是什么意思。快速谷歌搜索也没有给出任何具体的 iptables 规则来“解决”这个问题。
这条注释是什么意思?我怎样才能使用 iptables 适当地对其进行防火墙?
答案1
我认为这只是意味着一旦你启动了 tap/tun 设备并获得了 IP,你就需要对其进行防火墙保护,以防止来自你的 vpn 所连接的远程 LAN 的连接...
在我的 Mac 上,我有:
utun0: flags=80d1<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1418<br>
inet 10.17.225.17 --> 10.17.225.17 netmask 0xfffffe00
由于我没有安装防火墙(故意的),远程局域网上的任何人都可以连接到我机器上打开的端口。因此,例如,阻止来自远程局域网的传入 tcp/80 可能是“合适的”。在 Linux 上,这看起来像:
iptables -A INPUT -i tun0 -p tcp --dport 80 -j DROP