このiptablesルールはどういう意味ですか?

このiptablesルールはどういう意味ですか?

この記事を読んでくださいOpenVPNの設定方法に関する記事、次の段落を見ました。

Raspbianには、不明なインターネットや予期せぬインターネットソースからRaspberry Piを保護するファイアウォールがあります。私たちはまだファイアウォールがほとんどの入出力ネットワークトラフィックから私たちを保護したいのですが、ファイアウォールにOpenVPNのような穴を開ける必要があります。

その後、記事ではこのiptables規則を使用して問題を解決するよう提案します。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.XX.X

10.8.0.0VPNに接続されているクライアントのVPNベースアドレス、ローカル192.168.XX.Xネットワーク上のOpenVPNサーバーのIPアドレス。

10.8.0.0私は完全に誤解しているかもしれませんが、この規則は「ソースIPアドレスを持つすべてのパケットに対して送信元IPアドレスをインターフェイスからルーティングする前に変更する」ことを意味すると思います。192.168.XX.Xeth0

これが正しい場合、どのように「ファイアウォールにOpenVPNのような穴を開ける」のでしょうか?

答え1

このルールの目的は、単に openvpn クライアントがシステムのインターネット接続を使用できるように、openvpn クライアントからのトラフィックに対して SNAT をイネーブルにすることです。つまり、openvpn クライアントからのトラフィックは通過が許可されているため、ファイアウォールの穴と考えることができます。作家はユーモラスなスタイルで書くことを試みているようですが、いつもそうではありません...

これは、-s 10.8.0.0/24「ソースIPアドレス10.8.0.0」を意味するのではなく、「10.8.0.0/24ネットワークの送信元IPアドレス」を意味します10.8.0.*

答え2

あなたは正しいです。これはセキュリティではなくルーティングに関するものです。

関連情報