openvpn 서버로 실행되는 머신에 대한 iptables 규칙

openvpn 서버로 실행되는 머신에 대한 iptables 규칙

저는 오래된 노트북을 홈 네트워크용 OpenVPN 서버로 설정했습니다(dwarffortress 서버와 함께 사용했지만 그게 요점은 아닙니다). 이런 설정은 처음입니다. 외부에서 홈 네트워크에 SSH로 접속할 수 있는 안전한 방법을 원합니다.

어쨌든 작동하게 되었지만(결국 라우터에서 1194를 전달해야 한다는 사실을 깨달았습니다), 잘못된 방식으로 열지 않았는지 확인하고 싶었습니다. 이러한 iptables 규칙이 합리적으로 보입니까? :

# Generated by iptables-save v1.4.21 on Sun Dec 28 02:16:10 2014
*nat
:PREROUTING ACCEPT [3:517]
:INPUT ACCEPT [3:517]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.88.0/24 -o wlp3s0 -j MASQUERADE
COMMIT
# Completed on Sun Dec 28 02:16:10 2014
# Generated by iptables-save v1.4.21 on Sun Dec 28 02:16:10 2014
*filter
:INPUT ACCEPT [323:24107]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [152:13348]
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 28 02:16:10 2014

편집: 좋습니다. 현재 규칙은 다음과 같습니다.

# Generated by iptables-save v1.4.21 on Mon Dec 29 03:36:02 2014
*filter
:INPUT DROP [14:2325]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:144]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i wlp3s0 -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o wlp3s0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Dec 29 03:36:02 2014
# Generated by iptables-save v1.4.21 on Mon Dec 29 03:36:02 2014
*nat
:PREROUTING ACCEPT [389:94808]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [1:72]
:POSTROUTING ACCEPT [1:72]
-A POSTROUTING -s 192.168.88.0/24 -o wlp3s0 -j MASQUERADE
COMMIT
# Completed on Mon Dec 29 03:36:02 2014

네트워크 내부에서 SSH 연결을 만들 수 있지만(비밀번호를 묻는 연결/요청이 이전보다 느린 것 같지만) 이제는 외부에서 OpenVPN 연결을 만들 수 없습니다.

답변1

아니요, ACCEPT인터페이스의 트래픽이 충분하지 않습니다. 또한 체인에서 1194/udp 포트를 열어야 tun합니다 .INPUT

-A INPUT -i wlp3s0  -j ACCEPT -m udp -p udp --dport 1194 -m state --state NEW -j ACCEPT

INPUT또한 체인에 대한 기본 정책을 로 설정해야 합니다 DROP. 이제 들어오는 모든 연결을 허용합니다!

*filter
:INPUT DROP [323:24107]

화타이

관련 정보