私はtap0 VPNを実行しています。顧客を沈黙させるために、私はこの#client-to-client
セリフに注釈を付け、効果がありました。
今、顧客と話すIPをいくつか残したいと思います。例: 10.8.0.2 および 10.8.0.6 は、10.8.0.0./24 の範囲内の誰とでも会話できます。
どうすればいいですか?
答え1
OpenVPNサーバーの設定ファイルでそのパケットを操作できるように、この行を無効または削除する/etc/openvpn/server.conf
必要があります。その後、残りのクライアントと通信する必要がある2つのクライアントに静的IPアドレスが割り当てられます。次に、iptablesを使用して、承認されていないクライアント間の通信をブロックします。client-to-client
iptables
ユーザーtomとjerryに静的IPアドレスを割り当てる
$ sudo echo "tom,10.0.8.2" >> ifconfig-pool-persist ipp.txt
$ sudo echo "jerry,10.0.8.6" >> ifconfig-pool-persist ipp.txt
# Then restart openvpn service
$ systemctl restart openvpn@server
次に、iptablesルールをFORWARDチェーンに追加し、ルールが上から下に処理されることを覚えておいてください(10.0.8.1
OpenVPNサーバーに属しています)。
$ sudo iptables -A FORWARD -s 10.0.8.1 -d 10.0.8.0/24 -j ACCEPT
$ sudo iptables -A FORWARD -s 10.0.8.2 -d 10.0.8.0/24 -j ACCEPT
$ sudo iptables -A FORWARD -s 10.0.8.6 -d 10.0.8.0/24 -j ACCEPT
$ sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Assuming OpenVPN server uses tun0, block unauthorized client-to-client
$ sudo iptables -A FORWARD -i tun0 -o tun0 -j DROP
client-to-client
有効にすると、iptables
これらのトラフィックはカーネルにプッシュされないため、操作できません。
引用:https://serverfault.com/questions/736274/openvpn-client-to-client