nftablesベースのファイアウォールを設定するLXCコンテナ(debianstretchホスト、debianbusterコンテナ)には、OpenVPNサーバーに関する簡単な設定があります。
私を混乱させるのは、nftablesが特定のIPまたは/ 32マスクを使用しても、10.52.1.0/24サブネット内のすべてのトラフィックに対してSaddrをキャプチャできないことです。
私はnftablesが私のトラフィックを次のように扱うことを発見しました。カプセル化、たとえTap52インターフェイス(純粋なopenvpnインターフェイス10.52.0.0/16)を受信するように設定したと思います。
私は何が間違っていましたか?
私のnftables.confはとても簡単です。
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain input_tap52 {
type filter hook input priority 0;
ip saddr 10.52.1.0/24 drop # This doesn't work
#drop # This works
meta nftrace set 1
}
chain forward_tap52 {
type filter hook forward priority 0; policy drop;
}
chain output_tap52 {
type filter hook output priority 0; policy accept;
}
}
nft モニタートレースは、次の出力を提供します。
trace id beade08f inet filter input_tap52 rule nftrace set 1 (verdict continue)
trace id beade08f inet filter input_tap52 verdict continue
trace id beade08f inet filter input_tap52
trace id d46433ce inet filter input_tap52 packet: iif "eth0" ether saddr 00:16:3e:00:00:00 ether daddr 00:16:3e:c3:6d:fb ip saddr 46.134.**.** ip daddr 10.0.3.253 ip dscp cs0 ip ecn not-ect ip ttl 53 ip id 0 ip protocol udp ip length 42 udp sport 3423 udp dport openvpn udp length 22 @th,64,96 17369369003734387519951732736
答え1
いいですね。だから私はいくつかの間違った仮定をしました。
1) "input_"にインターフェイス名を追加すると、そのインターフェイスのトラフィックが自動的にフィルタリングされるという内容を読みましたが、これは間違っています。
2)カプセル化されたトラフィックが表示されますが、有効な「10.52.0.0/16」パケット、特にブロードキャストパケットもあります。
だから最後に私はこれを覚えていました。 https://serverfault.com/questions/736274/openvpn-client-to-client
できるようにする顧客対顧客パケットの作成見えないカーネルに。私の場合、これは問題です。