私は古いラップトップをホームネットワーク用のOpenVPNサーバーとして設定しました(dwarffortressサーバーと一緒に使用しましたが、それはポイントではありません)。この設定は初めてです。外部からホームネットワークにSSHで接続するための安全な方法が必要です。
とにかく動作するようになりましたが(最終的にルーターで1194を渡す必要があることに気づきました)、間違った方法で開かなかったことを確認したかったです。これらのiptablesルールは合理的に見えますか? :
# Generated by iptables-save v1.4.21 on Sun Dec 28 02:16:10 2014
*nat
:PREROUTING ACCEPT [3:517]
:INPUT ACCEPT [3:517]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.88.0/24 -o wlp3s0 -j MASQUERADE
COMMIT
# Completed on Sun Dec 28 02:16:10 2014
# Generated by iptables-save v1.4.21 on Sun Dec 28 02:16:10 2014
*filter
:INPUT ACCEPT [323:24107]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [152:13348]
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 28 02:16:10 2014
編集:良いです。現在のルールは次のとおりです。
# Generated by iptables-save v1.4.21 on Mon Dec 29 03:36:02 2014
*filter
:INPUT DROP [14:2325]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:144]
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i wlp3s0 -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o wlp3s0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Dec 29 03:36:02 2014
# Generated by iptables-save v1.4.21 on Mon Dec 29 03:36:02 2014
*nat
:PREROUTING ACCEPT [389:94808]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [1:72]
:POSTROUTING ACCEPT [1:72]
-A POSTROUTING -s 192.168.88.0/24 -o wlp3s0 -j MASQUERADE
COMMIT
# Completed on Mon Dec 29 03:36:02 2014
ネットワーク内でSSH接続を作成できますが(パスワードを要求する接続/要求は以前より遅いようですが)、今は外部からOpenVPN接続を作成できません。
答え1
いいえ、ACCEPT
インターフェイスのトラフィックが不十分です。また、チェーンで1194 / udpポートを開くtun
必要があります。INPUT
-A INPUT -i wlp3s0 -j ACCEPT -m udp -p udp --dport 1194 -m state --state NEW -j ACCEPT
INPUT
また、チェーンのデフォルトポリシーをに設定する必要がありますDROP
。今、すべての着信接続を許可します!
*filter
:INPUT DROP [323:24107]
ファタイ