iT邦幫忙

0

有關linux vpn之iptable設定(連進vpn後的block rule)

各位IT先進,想請教一下有關linux vpn(連進vpn的block rule)

我的機器本身是CentOS linux,已建置好VPN,外網連接來是從eth0進來,
若只設定#A的部分,外網進vpn再上網都是OK.

但我現在想讓外網進vpn後只允許連到http://55.224.x.x:5000,其它都檔掉
後來就加了#B的部分,不能上網是正常,但卻包括連到http://55.224.x.x:5000亦不行

不知問題在那兒? 是#B的rule有設錯?
還是vpn進來再連其它路由,不該用FORWARD,而該用nat的postrouting呢?

麻煩各位大大在百忙之中,能抽空指點一下,Tks.

#A
/sbin/iptables -t nat -A POSTROUTING -s 192.168.240.0/24 -j SNAT --to-source ifconfig | grep 'inet addr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk 'NR==1 { print $1}'
/sbin/iptables -A FORWARD -p tcp --syn -s 192.168.240.0/24 -j TCPMSS --set-mss 1356

#B
/sbin/iptables -A FORWARD -p tcp -i eth0 -d 55.224.x.x --dport 5000 -m state --state NEW -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -j DROP

p.s.進VPN配的IP是192.168.240.11~192.168.240.100

1 個回答

0
gp671112
iT邦新手 5 級 ‧ 2014-11-13 17:51:43
最佳解答

caleb提到:
只允許連到http://55.224.x.x:5000,其它都檔掉

如果是這樣的話就不連VPN會更單純,直接從eth0 PREROUTING,
設置VPN一般是讓非內網的連線,可以使用內網的資源,
連進VPN之後若是pptp這種不會增加虛擬網卡的,
一般都以網段來做管理,比較不會與實體網卡衝突,
所以#B的-i eth0改成VPN網段試試,
除非是有橋接(br0),才用網卡為基準來設置。

caleb iT邦新手 4 級 ‧ 2014-11-13 23:01:12 檢舉

補充一下:
1.是pptp沒錯,也有出現像ppp0、ppp1的網卡...
2.#B的部分,曾經也試過加入VPN網段IP,Rule如下:
/sbin/iptables -A FORWARD -p tcp -i eth0 --src-range 192.168.240.2-192.168.240.100 -d 55.224.x.x --dport 5000 -m state --state NEW -j ACCEPT
但連到http://55.224.x.x:5000結果一樣不通,所以不知問題在那兒?

我要發表回答

立即登入回答