如何在 Linux 中為 OpenVPN 配置故障安全解決方案？

我正在執行 linux debian x64。OpenVPN 正在執行和配置。

現在我想在我的 vpn 沒有執行或連接中斷時禁用網際網路連接。

你知道我的意思？

VPN 工作 -> 網際網路連接

VPN 不工作 -> 沒有網際網路連接

是否可以在 iptables 中解決這個問題，或者最好的方法是什麼？

您通常在 OpenVPN 啟動時通過 OpenVPN 執行所有網際網路流量，並且可能希望在 OpenVPN 崩潰時不會在明文網際網路上發生這種洩漏。因此，這相當容易：簡單地禁止任何流量離開您的正常乙太網介面（我假設這裡是eth0），除非它是 OpenVPN 流量（我假設這裡是 UDP/1194，針對 TCP OpenVPN 進行適當修改），或者基礎設施需要（DNS、ICMP）：

iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp  -j ACCEPT
iptables -A OUTPUT -o eth0 -j DROP

我知道並非所有的 ICMP 都是必需的，但我個人認為允許 PING 請求和 PONG 響應輸出並沒有什麼害處；如果您這樣做，請修改上述規則。 iptables規則是順序敏感的，因此如果您的 OUTPUT 鏈中已經有規則，那麼您需要小心地將這些規則放在正確的位置。

引用自：https://serverfault.com/questions/846177