Linux

如何在 Linux 中為 OpenVPN 配置故障安全解決方案?

  • April 24, 2017

我正在執行 linux debian x64。OpenVPN 正在執行和配置。

現在我想在我的 vpn 沒有執行或連接中斷時禁用網際網路連接。

你知道我的意思?

VPN 工作 -> 網際網路連接

VPN 不工作 -> 沒有網際網路連接

是否可以在 iptables 中解決這個問題,或者最好的方法是什麼?

您通常在 OpenVPN 啟動時通過 OpenVPN 執行所有網際網路流量,並且可能希望在 OpenVPN 崩潰時不會在明文網際網路上發生這種洩漏。因此,這相當容易:簡單地禁止任何流量離開您的正常乙太網介面(我假設這裡是eth0),除非它是 OpenVPN 流量(我假設這裡是 UDP/1194,針對 TCP OpenVPN 進行適當修改),或者基礎設施需要(DNS、ICMP):

iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp  -j ACCEPT
iptables -A OUTPUT -o eth0 -j DROP

我知道並非所有的 ICMP 都是必需的,但我個人認為允許 PING 請求和 PONG 響應輸出並沒有什麼害處;如果您這樣做,請修改上述規則。 iptables規則是順序敏感的,因此如果您的 OUTPUT 鏈中已經有規則,那麼您需要小心地將這些規則放在正確的位置。

引用自:https://serverfault.com/questions/846177