外部サーバーに Web サービスがあり、同じコンピューターに openvpn サーバーがあります。ポート80を開く必要がありますが、openvpnクライアント専用です。つまり、nmap -p 80 server_ipを実行すると、フィルタリングされたコンテンツが表示されることが予想されます。ただし、同時にVPNに接続して同じコマンドを実行すると、そのVPNが開いていることがわかります。
私はプログラマーであり、ネットワーク管理についてはよくわかりません。にいくつかのルールを作成できる場合は、iptables作成方法を教えてください。難しい場合は、少なくともどの方向を見るべきか教えてください。これを行う方法を説明する同様のケースがインターネット上で見つかりません。
今回はCentOs 7でを使ってこれをやろうとしています。をfirewalld使用して実行できますかfirewalld、それとも削除してiptablesを介して行う必要がありますか?
答え1
もっと簡単
最も簡単なルールは、ポート80(および未使用のすべてのポート)をブロックすることです。次に、localhost 127.0.0.0/8 がポート 80 に接続できるようにするルールを前に追加します。
これにより、ほとんどの可能性がブロックされます。少なくともこのシステムのプロセスのみを接続できます。
グラフィックファイアウォールツールを使用してこれを行うことができますgufw。gufwおそらく最も簡単なファイルウォールツールです。すべてを行うことはできませんが、シンプルで多くのことができます。
少し難しい部分
次に、接続しているシステムのプロセスを停止する必要があります。ただし、VPNユーザーのプロセスがVPNを接続してから別のVPNユーザーとして実行できるようにします。 (ユーザーごとの発信接続のみを制御できます。
私はこれを行う簡単なツールを知りませんが(私はファイアウォールの専門家ではありません)、私が編集しましたiptables。
削除する必要がありますかfirewalld?
私は使用していませんが、自分で試して編集filewalldしてみました。いかなる葛藤も見ない。gufwiptable