我正在尝试为一群人设置一个openvpn服务器,但是我在configurationiptables规则时遇到了问题。
该箱有5个专用IP地址,我想使用ips不是默认的传出IP地址也我想限制开放端口上的VPN(80 443 53 …),并阻止其余。
openvpn client ip range is : 10.1.8.2 - 10.1.8.255 openvpn server ip : 10.1.8.1 outgoing ip address : abcd ( real ip ) allowed ports : 80 443 53 21 经过大量的研究,我发现下面的命令可以为我工作?
iptables -t nat -A PREROUTING -p TCP -m multiport --dports 21,53,80,443 -m iprange --src-range 10.1.8.2-10.1.8.255 -j DNAT --to-destination ABCD
主要的问题是iptables转发所有ips /端口的所有stream量,但我想手动定义iprange和端口,并阻止来自openvpn客户端的重置stream量请求…
这听起来有点让我困惑。 OpenVPN服务器将负责VPN客户端的路由和NAT,所以你不需要使用iptables来做到这一点。 一般来说,OpenVPN也只需要一个端口,许多人select在端口443上这样做,因为在世界各地的许多酒店中,这个端口是允许的(而其他端口如500,往往不是这样)。
您将需要一个INPUT规则来打开防火墙中的相关端口。 根据您的策略设置,您可能还需要互联网接口和隧道接口的OUTPUT规则。 而且,再次取决于您的策略设置,您可能需要FORWARD规则来允许相关接口(例如隧道和您的内部networking接口)之间的stream量。 所有这些规则都可以修改,以限制IP地址范围和/或端口范围。
如果您的机器正在转发来自所有IP地址和所有端口的stream量,那么很可能您的INPUT,OUTPUT和FORWARD的默认策略是ACCEPT,您需要将其更改为DROP。 阅读iptables的手册页获取确切的细节。