iT邦幫忙

2025 iThome 鐵人賽
DAY 24
0
IT 管理

無職轉生:到了IT就拿出真本事!IT 維運 30 日修煉系列 第 24

Day 24 - 章節二十三:防護結界之術 ‧ iptables 與 VPN 進階精控(安全傳輸篇)

17th鐵人賽
67 瀏覽

  • 分享至 

  • xImage
    •  

https://ithelp.ithome.com.tw/upload/images/20250924/20178480vZHxs4O6SF.png

前言 進入防火牆的秘境

在異世界的 IT 冒險中,VPN 是我的隱形通道,而 iptables 則是通道的守護精靈。
它不僅是防火牆,更像交通管制官,決定誰能通行、誰被阻隔。今天,我將帶你探索 iptables 的進階魔法,讓 VPN 的隱形通道更安全、更靈活。

🔐 1. Hub/子網隔離與精準訪問控制

場景

  • 公司 Mac 用戶與居家個人電腦需要 VPN 連線,但禁止訪問敏感系統(例如 ERP、內部後端系統)。
  • 原 L2TP hub 限制訪問後端系統,新增 editor_l2tp hub 專門服務少數授權使用者。

用法

  • FORWARD 鏈中阻止跨子網存取,只允許必要服務。
  • 透過子網隔離避免橫向移動。
iptables -A FORWARD -s 192.168.9.0/24 -d 192.168.7.0/24 -j DROP
iptables -A FORWARD -s 192.168.9.0/24 -d 192.168.10.0/24 -j DROP

🌍 2. NAT 與分流(不同 Hub 走不同出口)

場景

  • HubA(台灣分公司)走台灣出口 IP
  • HubB(海外分公司)走海外出口 IP
  • 或內部使用者透過 VPN 上網,但特定流量走原生網路出口

用法

# 指定 Hub 子網 NAT 出口
iptables -t nat -A POSTROUTING -s 192.168.7.0/24 -j SNAT --to-source <WAN_IP>
iptables -t nat -A POSTROUTING -s 192.168.8.0/24 -j SNAT --to-source <WAN_IP_2>

# 可搭配 ip rule + iptables MARK 做多出口路由

📊 3. 流量控制(速率限制與高階 QoS)

場景

  • 外包人員或特定 VPN 使用者大量傳檔,導致頻寬爆滿。
  • 內部使用者優先,外包流量受限。

用法

# iptables 限速示例
iptables -A FORWARD -s 192.168.7.0/24 -m limit --limit 1mbit -j ACCEPT

# 高階做法:標記流量交給 tc 做 QoS
iptables -t mangle -A PREROUTING -s 192.168.7.0/24 -j MARK --set-mark 1
tc qdisc add dev eth0 root handle 1: htb
tc class add dev eth0 parent 1: classid 1:1 htb rate 5mbit
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 1 fw flowid 1:1

🛡️ 4. VPN 安全強化(黑白名單、防爆力、防掃描)

場景

  • VPN 對外開放,僅允許特定 IP 或國家登入。
  • 防止攻擊者透過 VPN 掃描內網或爆破帳號。

用法

# 允許特定 IP
iptables -A INPUT -p udp --dport 500 -s <trusted_IP> -j ACCEPT

# 搭配 fail2ban 自動封鎖爆破來源
fail2ban-client set vpn-jail banip <offending_IP>

⏱️ 5. 分時存取控制(上下班自動開關)

場景

  • 外包廠商僅在上班時間(09:00~18:00)透過 VPN 登入,其餘時間自動封鎖。

用法

# 利用 cron 切換規則
# 09:00 啟用
iptables -I FORWARD -s 192.168.7.0/24 -j ACCEPT
# 18:00 停用
iptables -D FORWARD -s 192.168.7.0/24 -j ACCEPT

🖥️ 6. DMZ / 隔離服務區

場景

  • VPN 用戶只能存取授權 NAS 或特定內部服務。
  • 其他內網資源保持隔離。

用法

iptables -A FORWARD -s 192.168.7.0/24 -d 192.168.9.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.7.0/24 -d 192.168.0.0/16 -j DROP

🔑 修行者總結

iptables + VPN 的進階應用,讓我在異世界的 VPN 通道上掌握真正的通行與防護之力:

  • 隔離與精準控制(誰能訪問誰)
  • NAT 與分流(不同出口 / 不同路由策略)
  • 流量管控(限速、QoS、防濫用)
  • 安全強化(黑白名單、防爆力、防掃描)
  • DMZ 與分時控制(限制特定資源與時段存取)

⚔️ 在這一章,我完成了 VPN 的高階精控與守護結界,為第六章實戰篇打下堅實基礎。


上一篇
Day23 - 章節二十二:隱形通道升級術 ‧ SoftEther VPN 高階多 Hub 管理與 dnsmasq&IPTables 精控(安全傳輸篇)
系列文
無職轉生:到了IT就拿出真本事!IT 維運 30 日修煉24
  1. 20
    Day 20 - 章節十九:三位一體的備份術 — Active Backup、Snapshot、Hyper Backup 終章整理 (檔案與備份篇)
  2. 21
    Day 20 - 章節二十:隱形通道之術 ‧ 掌握 VPN 的暗道與隱匿通路(安全傳輸篇)
  3. 22
    Day22 - 章節二十一:隱形通道之術 ‧ SoftEther VPN Server 架設與 dnsmasq/IPTables 管理(安全傳輸篇)
  4. 23
    Day23 - 章節二十二:隱形通道升級術 ‧ SoftEther VPN 高階多 Hub 管理與 dnsmasq&IPTables 精控(安全傳輸篇)
  5. 24
    Day 24 - 章節二十三:防護結界之術 ‧ iptables 與 VPN 進階精控(安全傳輸篇)
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
11031
完賽人數
104
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 17th鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react
熱門問題
熱門回答
熱門文章
IT邦幫忙