服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用IPTABLES保护openVPN
Intereting Posts
我可以从Windows格式化Veritas群集共享卷吗? 在Linux上分析内存和CPU的工具 nginx设置cookie代理错误 apache2configuration文件中“python-program”的源代码 SPFlogging在几天后显示不变 VPN Server无法ping远程客户端networking中的其他PC和打印​​机 如何自动向用户发送SSH服务器的新公钥? 如何撤消我做的iptables规则? IIS 7.5 – 应用程序文件夹名redirect以匹配大小写和删除查询string 使用Chrome和Firefox进行全公司Windows身份validation 无法从局域网内的其他主机访问SVN存储库 Windows如何处理程序依赖关系? IP欺骗的stream量能否在传输层之上? Traceroute,ICMP,UDP和TCP 批处理脚本实现2个ODBC连接

使用IPTABLES保护openVPN

我安装了一个openVPN服务器,它工作正常。

下一步是确保它,我select使用IPTABLES只允许某些连接通过,但到目前为止,它不工作。

我想启用访问我的openVPN服务器后面的networking,并允许其他服务(networking访问),当iptables被解散或设置为允许所有这些工作正常,当使用我的以下规则,它不。

另外请注意,我已经configuration了openVPN自己做我想做的事情,它工作正常,它只有当iptables启动时失败。

任何帮助,告诉我为什么这不工作将在这里赞赏。

这些是我根据openVPN的build议添加的,不幸的是,testing这些命令表明它们是被请求的,它们似乎令人难以置信的不安全,但是有什么方法可以避开它们? 

# Allow TUN interface connections to OpenVPN server -A INPUT -i tun+ -j ACCEPT #allow TUN interface connections to be forwarded through other interfaces -A FORWARD -i tun+ -j ACCEPT # Allow TAP interface connections to OpenVPN server -A INPUT -i tap+ -j ACCEPT # Allow TAP interface connections to be forwarded through other interfaces -A FORWARD -i tap+ -j ACCEPT

这些是我添加的新的链和命令,尽可能地限制访问,不幸的是,这些启用,所有发生的是openVPN连接build立罚款,然后没有访问networking的其余部分在openVPN服务器

  • 注意我正在configuration主iptables文件,我偏执,所以所有的端口和IP地址被改变,-N等出现之前,所以忽略,他们不出现。

  • 我又添加了一些解释,说明这些规则要做什么,所以你不要浪费时间去弄清楚我错了什么地方。 

     4 #accepts the vpn over port 1192 -A INPUT -p udp -m udp --dport 1192 -j ACCEPT -A INPUT -j INPUT-FIREWALL -A OUTPUT -j ACCEPT #packets that are to be forwarded from 10.10.1.0 network (all open vpn clients) to the internal network (192.168.5.0) jump to [sic]foward-firewall chain -A FORWARD -s 10.10.1.0/24 -d 192.168.5.0/24 -j FOWARD-FIREWALL #same as above, except for a different internal network -A FORWARD -s 10.10.1.0/24 -d 10.100.5.0/24 -j FOWARD-FIREWALL # reject any not from either of those two ranges -A FORWARD -j REJECT -A INPUT-FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT-FIREWALL -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT-FIREWALL -j REJECT -A FOWARD-FIREWALL -m state --state RELATED,ESTABLISHED -j ACCEPT #80 443 and 53 are accepted -A FOWARD-FIREWALL -m tcp -p tcp --dport 80 -j ACCEPT -A FOWARD-FIREWALL -m tcp -p tcp --dport 443 -j ACCEPT #192.168.5.150 = openVPN sever -A FOWARD-FIREWALL -m tcp -p tcp -d 192.168.5.150 --dport 53 -j ACCEPT -A FOWARD-FIREWALL -m udp -p udp -d 192.168.5.150 --dport 53 -j ACCEPT -A FOWARD-FIREWALL -j REJECT COMMIT

现在我等待:D

直接使用Shorewall而不是iptables。 Shorewall是一个轻量级的configuration工具,可以更容易地pipe理你的iptables规则。 遵循OpenVPN HOWTO,您可以在10分钟内获得OpenVPN并运行防火墙。

你有没有尝试在REJECTs前添加-j LOG语句,这样至less可以看到哪个拒绝他们最终被拒绝?

你能否提供traceroute,例如从10.10.1.1开始的traceroute 192.168.5.1?