Рейтинг:0

Как заблокировать доступ в Интернет для клиентов OpenVPN и ограничить трафик в сети VPN? (устанавливается с помощью openvpn-install)

флаг me

Я настраиваю сервер OpenVPN, используя openvpn-установить. Я хотел бы, чтобы клиенты могли подключаться к VPN-серверу, но любой трафик, направленный в Интернет, а не в локальную сеть VPN, должен быть заблокирован.

Я видел много решений, предлагающих добавить толкать команды server.conf запрашивать, чтобы клиенты использовали свою собственную сеть для интернет-трафика по умолчанию, однако эти запросы могут игнорироваться клиентами - это не то, чего я хочу.

Я только хочу, чтобы VPN-клиенты могли получить доступ к локальной сети VPN (в 10.8.0.0/24), весь другой трафик должен отклоняться VPN-сервером, и клиенты должны использовать для этого свои собственные сети.

Как я могу принудительно заблокировать интернет-трафик от VPN-клиентов?

Рейтинг:0
флаг me

Это может быть достигнуто за счет использования iptables, заблокировав трафик, идущий от сетевого интерфейса OpenVPN к сетевому интерфейсу с доступом в Интернет.

openvpn-установить создает несколько iptables файлы конфигурации, которые управляют правилами для вас.

Следующие инструкции предполагают, что:

  • тун0 это сетевой интерфейс OpenVPN
  • eth0 это сетевой интерфейс с доступом в интернет

Начальные правила очистки

Во-первых, нам нужно отключить текущие правила, загруженные openvpn-install, выполнив следующую команду:

systemctl остановить iptables-openvpn

Файлы конфигурации

Примечание: использование УРОНИТЬ вместо ОТКЛОНЯТЬ также действителен, он просто не возвращает ошибку VPN-клиенту. См. справочная страница iptables для получения дополнительной информации.

добавить-openvpn-rules.sh

В /etc/iptables/добавить-openvpn-rules.sh, измените строку с:

iptables -I ВПЕРЕД 1 -i tun0 -o eth0 -j ПРИНЯТЬ

к:

iptables -I ПЕРЕДАТЬ 1 -i tun0 -o eth0 -j ОТКЛОНИТЬ

РМ-openvpn-rules.sh

В /etc/iptables/rm-openvpn-rules.sh, измените строку с:

iptables -D ВПЕРЕД -i tun0 -o eth0 -j ПРИНЯТЬ

к:

iptables -D ВПЕРЕД -i tun0 -o eth0 -j ОТКЛОНИТЬ

Применение изменений

Выполните следующую команду, и ваши изменения должны быть сохранены и вступить в силу:

systemctl запустить iptables-openvpn

Раздельное туннелирование

Затем можно использовать отправку маршрутов к VPN-клиентам, чтобы запросить отправку интернет-трафика через их собственную сеть. Вот строки, которые я добавил в свой OpenVPN server.conf файл для достижения этой цели (моя сеть VPN находится на 10.8.0.0/24):

нажмите "маршрут 10.8.0.0 255.255.255.0 vpn_gateway"
нажмите "маршрут 0.0.0.0 0.0.0.0 net_gateway"

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.