この記事を読んでくださいOpenVPNの設定方法に関する記事、次の段落を見ました。
Raspbianには、不明なインターネットや予期せぬインターネットソースからRaspberry Piを保護するファイアウォールがあります。私たちはまだファイアウォールがほとんどの入出力ネットワークトラフィックから私たちを保護したいのですが、ファイアウォールにOpenVPNのような穴を開ける必要があります。
その後、記事ではこのiptables
規則を使用して問題を解決するよう提案します。
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.XX.X
10.8.0.0
VPNに接続されているクライアントのVPNベースアドレス、ローカル192.168.XX.X
ネットワーク上のOpenVPNサーバーのIPアドレス。
10.8.0.0
私は完全に誤解しているかもしれませんが、この規則は「ソースIPアドレスを持つすべてのパケットに対して送信元IPアドレスをインターフェイスからルーティングする前に変更する」ことを意味すると思います。192.168.XX.X
eth0
これが正しい場合、どのように「ファイアウォールにOpenVPNのような穴を開ける」のでしょうか?
答え1
このルールの目的は、単に openvpn クライアントがシステムのインターネット接続を使用できるように、openvpn クライアントからのトラフィックに対して SNAT をイネーブルにすることです。つまり、openvpn クライアントからのトラフィックは通過が許可されているため、ファイアウォールの穴と考えることができます。作家はユーモラスなスタイルで書くことを試みているようですが、いつもそうではありません...
これは、-s 10.8.0.0/24
「ソースIPアドレス10.8.0.0」を意味するのではなく、「10.8.0.0/24ネットワークの送信元IPアドレス」を意味します10.8.0.*
。
答え2
あなたは正しいです。これはセキュリティではなくルーティングに関するものです。