Linux
如何在 Linux 中為 OpenVPN 配置故障安全解決方案?
我正在執行 linux debian x64。OpenVPN 正在執行和配置。
現在我想在我的 vpn 沒有執行或連接中斷時禁用網際網路連接。
你知道我的意思?
VPN 工作 -> 網際網路連接
VPN 不工作 -> 沒有網際網路連接
是否可以在 iptables 中解決這個問題,或者最好的方法是什麼?
您通常在 OpenVPN 啟動時通過 OpenVPN 執行所有網際網路流量,並且可能希望在 OpenVPN 崩潰時不會在明文網際網路上發生這種洩漏。因此,這相當容易:簡單地禁止任何流量離開您的正常乙太網介面(我假設這裡是
eth0
),除非它是 OpenVPN 流量(我假設這裡是 UDP/1194,針對 TCP OpenVPN 進行適當修改),或者基礎設施需要(DNS、ICMP):iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -j DROP
我知道並非所有的 ICMP 都是必需的,但我個人認為允許 PING 請求和 PONG 響應輸出並沒有什麼害處;如果您這樣做,請修改上述規則。
iptables
規則是順序敏感的,因此如果您的 OUTPUT 鏈中已經有規則,那麼您需要小心地將這些規則放在正確的位置。