免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1812 | 回复: 2

[vpn] OpenVPN 不能限制通信 [复制链接]

论坛徽章:
0
发表于 2015-07-04 02:41 |显示全部楼层
问题现象:
iptables 的   FORWARD 不能够阻止转发

需求:
Linux 上安装了 OpenVPN,想通过 iptables 来限制,只有某几个特定的VPN IP,与所有的其它VPN client IP 通信,而其它vpn client 之间不允许通信。


1. 系统信息
[root@dmsgateway1 ~]# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 6.2 (Santiago)

[root@dmsgateway1 ~]# uname -a
Linux dmsgateway1 2.6.32-220.el6.x86_64 #1 SMP Wed Nov 9 08:03:13 EST 2011 x86_64 x86_64 x86_64 GNU/Linux

[root@dmsgateway1 ~]# iptables -V
iptables v1.4.7

2. OpenVPN  服务端配置文件 (使用的是路由模式  echo "1" > /proc/sys/net/ipv4/ip_forward  启用了Linux的转发功能)
port 8000
proto tcp
dev tun
ca /usr/openvpn/easy-rsa/2.0/keys/ca.crt
cert /usr/openvpn/easy-rsa/2.0/keys/server.crt
key /usr/openvpn/easy-rsa/2.0/keys/server.key
dh /usr/openvpn/easy-rsa/2.0/keys/dh1024.pem
crl-verify /usr/openvpn/easy-rsa/2.0/keys/crl.pem
server 172.16.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "route 10.10.10.2 255.255.255.255"
client-config-dir /usr/openvpn/ccd
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 0

3. ipables 已经限制的很严格了,默认全是禁止通信

#!/bin/sh
/sbin/service iptables restart
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8000 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@dmsgateway1 ~]# iptables -vxnL
Chain INPUT (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    1233   197664 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
     188    25703 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8000
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy DROP 33 packets, 6644 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 108 packets, 10300 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    1592   149391 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED


[root@dmsgateway1 ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

3. VPN client 之间未实现限制通信
我的 iptables  FORWARD 默认就是 DROP了,但所有的 OpenVPN Client 之间还是能够通信。

请知道的大神指点一下,我要如何配置,才能够实现, 指定的VPN CLIENT IP 去管理所有的VPN CLIENT, 而其它 CLIENT 之间不允许通信?

论坛徽章:
0
发表于 2015-07-07 13:46 |显示全部楼层
1: 在OpenVPN  服务端配置文件中去掉这行:
client-to-client
这样 OpenVPN Client 之间就不能通信了。

2:在iptables 中,有
-A INPUT -p tcp --dport 8000 -j ACCEPT
表示 iptables 已经放过了 vpn 的端口。

3:指定的VPN CLIENT IP 去管理所有的VPN CLIENT--不知道。
只知道 vpn server 可以管理 client。

论坛徽章:
0
发表于 2015-07-08 01:03 |显示全部楼层
回复 2# ardin


我解决了,见我的另一个贴子  iptables  FORWARD 不能阻止转发
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP