有關linux vpn之iptable設定(連進vpn後的block rule)

linux vpn block iptable

caleb 2014-11-13 10:24:37 ‧ 4616 瀏覽

各位IT先進，想請教一下有關linux vpn(連進vpn的block rule)

我的機器本身是CentOS linux，已建置好VPN，外網連接來是從eth0進來，
若只設定#A的部分，外網進vpn再上網都是OK.

但我現在想讓外網進vpn後只允許連到http://55.224.x.x:5000，其它都檔掉
後來就加了#B的部分，不能上網是正常，但卻包括連到http://55.224.x.x:5000亦不行

不知問題在那兒? 是#B的rule有設錯?
還是vpn進來再連其它路由，不該用FORWARD,而該用nat的postrouting呢?

麻煩各位大大在百忙之中，能抽空指點一下,Tks.

#A
/sbin/iptables -t nat -A POSTROUTING -s 192.168.240.0/24 -j SNAT --to-source ifconfig | grep 'inet addr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk 'NR==1 { print $1}'
/sbin/iptables -A FORWARD -p tcp --syn -s 192.168.240.0/24 -j TCPMSS --set-mss 1356

#B
/sbin/iptables -A FORWARD -p tcp -i eth0 -d 55.224.x.x --dport 5000 -m state --state NEW -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -j DROP

p.s.進VPN配的IP是192.168.240.11~192.168.240.100

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

gp671112

iT邦新手 5 級 ‧ 2014-11-13 17:51:43

最佳解答

caleb提到：
只允許連到http://55.224.x.x:5000，其它都檔掉

如果是這樣的話就不連VPN會更單純，直接從eth0 PREROUTING，
設置VPN一般是讓非內網的連線，可以使用內網的資源，
連進VPN之後若是pptp這種不會增加虛擬網卡的，
一般都以網段來做管理，比較不會與實體網卡衝突，
所以#B的-i eth0改成VPN網段試試，
除非是有橋接(br0)，才用網卡為基準來設置。

回應 1
分享
檢舉

caleb iT邦新手 4 級 ‧ 2014-11-13 23:01:12 檢舉

補充一下:
1.是pptp沒錯，也有出現像ppp0、ppp1的網卡...
2.#B的部分，曾經也試過加入VPN網段IP,Rule如下:
/sbin/iptables -A FORWARD -p tcp -i eth0 --src-range 192.168.240.2-192.168.240.100 -d 55.224.x.x --dport 5000 -m state --state NEW -j ACCEPT
但連到http://55.224.x.x:5000結果一樣不通，所以不知問題在那兒?

登入發表回應