у меня есть бастион сервер под управлением openvpn на порту 7777. Каждый клиент openvpn имеет закрепленный за ним статический ip. я использую iptables чтобы определить, по каким маршрутам может идти клиент.
На моем сервере также работает ssh на порту 22.
мой первый клиент уникален, потому что у него есть доступ везде. Его постоянный IP-адрес 10.8.0.1. Этот клиент также может подключиться к SSH, используя внутренний IP-адрес машины, чтобы получить контроль над машиной по ssh.
Итак, я попробовал этот набор правил:
#!/бин/ш
# сбросить все
iptables-F
iptables -X
# Установка политики фильтрации по умолчанию
iptables -P ВХОД DROP
iptables -P ВЫХОД DROP
iptables -P УДАЛЕНИЕ ВПЕРЕД
# Разрешить неограниченный трафик по петле
iptables -A ВВОД -i lo -j ПРИНЯТЬ
iptables -A ВЫВОД -o lo -j ПРИНЯТЬ
#разрешить ssh
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate НОВЫЙ, УСТАНОВЛЕННЫЙ -j ПРИНЯТЬ
iptables -A ВЫВОД -p tcp --sport 22 -m conntrack --ctstate УСТАНОВЛЕНО -j ПРИНЯТЬ
#разрешить опенвпн
iptables -A INPUT -p udp --dport 7777 -m conntrack --ctstate НОВЫЙ, УСТАНОВЛЕННЫЙ -j ПРИНЯТЬ
iptables -A ВЫВОД -p udp --sport 7777 -m conntrack --ctstate УСТАНОВЛЕНО -j ПРИНЯТЬ
# Разрешить везде для клиента `10.8.0.1`
iptables -A FORWARD --source 10.8.0.1 -j ПРИНЯТЬ
iptables -A FORWARD --destination 10.8.0.1 -j ПРИНЯТЬ
Проблема, с которой я сталкиваюсь, заключается в том, что 10.8.0.1 делать все в сети, кроме создания новых SSH-подключений к бастион машина. Существующее соединение ssh остается без проблем, даже после установки этих правил.
Почему?
