我正在寻求有关 IP 表的一些帮助。
我想设置一条规则,即传入的 OpenVPN 连接不能使用内部网络中的端口 443 和 80。为了澄清起见,我希望他们仍然能够使用这些端口访问互联网,但不希望他们能够使用这些端口访问我们子网上的任何内容。我还应该澄清的是,传入的 OpenVPN 用户可以使用的唯一其他端口是 53 (DNS) 和 3389 (RDP)
我希望他们能够使用 443 80 53 3389
但是对于端口 443 和 80,我希望它们不能将这些端口用于我们的内部子网。
这是我迄今为止尝试过的:
-A FORWARD -i tun0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i tun0 -p udp -m udp --dport 3389 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -p udp --dport 80 -j DROP
-A FORWARD -i tun0 -o eth0 -p tcp --dport 80 -j DROP
-A FORWARD -i tun0 -o eth0 -p udp --dport 443 -j DROP
-A FORWARD -i tun0 -o eth0 -p tcp --dport 443 -j DROP
-A FORWARD -i eth0 -o tun0 -p udp --dport 80 -j DROP
-A FORWARD -i eth0 -o tun0 -p tcp --dport 80 -j DROP
-A FORWARD -i eth0 -o tun0 -p udp --dport 443 -j DROP
-A FORWARD -i eth0 -o tun0 -p tcp --dport 443 -j DROP
-A FORWARD -s 10.0.0.0/8 -j DROP
#-A FORWARD -i tun0 -p udp --dport 443 -j DROP
#-A FORWARD -i tun0 -p tcp --dport 443 -j DROP
#-A FORWARD -i tun0 -o eth0 -p udp --dport 80 -j DROP
#-A FORWARD -i tun0 -o eth0 -p tcp --dport 80 -j DROP
#-A FORWARD -i tun0 -o eth0 -p udp --dport 443 -j DROP
#-A FORWARD -i tun0 -o eth0 -p tcp --dport 443 -j DROP
#-A FORWARD -i eth0 -o tun0 -p udp --dport 80 -j DROP
#-A FORWARD -i eth0 -o tun0 -p tcp --dport 80 -j DROP
#-A FORWARD -i eth0 -o tun0 -p udp --dport 443 -j DROP
#-A FORWARD -i eth0 -o tun0 -p tcp --dport 443 -j DROP