Iptables

需要有關 OpenVPN 設置的 IPTABLES 規則說明

  • September 19, 2019

我已經安裝了 Ubuntu 16.04 和 OpenVPN,似乎工作正常。但是當我使用“sudo ufw status”檢查防火牆規則時,我看到了這個:

Status: active

從 – —— —- 80 允許任何地方

443 允許任何地方

53 允許任何地方

465 允許任何地方

25 允許任何地方

110 允許任何地方

995 允許任何地方

143 允許任何地方

993 允許任何地方

10025 允許任何地方

10024 允許任何地方

80 ( v6) 允許在任何地方 (v6)

443 (v6) 允許任何地方 (v6)

53 (v6) 允許任何地方 (v6)

465 (v6) 允許任何地方 (v6)

25 (v6) 允許任何地方 (v6)

110 (v6) 允許任何地方 (v6)

995 (v6) 允許任何地方 (v6)

143 (v6) 允許任何地方 (v6)

993 (v6) 允許任何地方 (v6)

10025 (v6) 允許任何地方 (v6)

10024 (v6) 允許任何地方 (v6)

根本沒有提到1194埠!但是我使用 netstat 命令 “root@mail:~# netstat -anlp |grep 1194” 我得到了這個:

udp        0      0 0.0.0.0:1194            0.0.0.0:*                           1142/openvpn    

我也有這個文件,由 OpenVPN 腳本在這裡 /etc/systemd/system/openvpn-iptables.service 創建,我在其中看到了這個:


 [Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStart=/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/sbin/iptables -t nat -D POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStop=/sbin/iptables -D INPUT -p udp --dport 1194 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

所以我的問題是……如果使用這些 IPTABLES 規則打開埠 1194 (是嗎?),那麼為什麼我看不到它處於 ufw 狀態?

我預計會出現混亂,因為您同時使用了 UFW 和 IPTABLES。UFW 是 iptables 的前端,但如果您在其外部添加規則,我希望它無法辨識這些規則。

因此,您看不到注入 iptables 規則來處理您的 OpenVPN 連接。

我希望如果您列出 iptables 規則,您會看到它們。嘗試

 /sbin/iptables -vnL

顯示 IPTables 和 UFW 規則(但以 IPTABLES 形式)

引用自:https://serverfault.com/questions/984750