tôi có một pháo đài máy chủ chạy openvpn trên cổng 7777. Mỗi máy khách openvpn có một ip tĩnh cố định cho anh ta. Tôi đang sử dụng iptables để xác định các tuyến đường mà khách hàng có thể đi.
Máy chủ của tôi cũng chạy ssh trên cổng 22.
khách hàng đầu tiên của tôi là khách hàng duy nhất vì anh ấy có quyền truy cập ở mọi nơi. Địa chỉ ip cố định của anh ấy là 10.8.0.1. Máy khách này cũng có thể kết nối SSH, sử dụng ip máy nội bộ, để giành quyền kiểm soát ssh trên máy.
Vì vậy, tôi đã thử bộ quy tắc này:
#!/bin/sh
# tuôn ra tất cả
iptables -F
iptables -X
# Đặt chính sách bộ lọc mặc định
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Cho phép lưu lượng truy cập không giới hạn trên loopback
iptables -A INPUT -i lo -j CHẤP NHẬN
iptables -A OUTPUT -o lo -j CHẤP NHẬN
#cho phép ssh
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate MỚI, ĐÃ THÀNH LẬP -j CHẤP NHẬN
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate THÀNH LẬP -j CHẤP NHẬN
#cho phép openvpn
iptables -A INPUT -p udp --dport 7777 -m conntrack --ctstate MỚI, ĐÃ THÀNH LẬP -j CHẤP NHẬN
iptables -A OUTPUT -p udp --sport 7777 -m conntrack --ctstate THÀNH LẬP -j CHẤP NHẬN
# Cho phép ở mọi nơi cho máy khách `10.8.0.1`
iptables -A FORWARD --source 10.8.0.1 -j CHẤP NHẬN
iptables -A FORWARD --destination 10.8.0.1 -j CHẤP NHẬN
Vấn đề tôi đang gặp phải là 10.8.0.1 làm mọi thứ trên mạng, ngoại trừ thực hiện các kết nối SSH mới tới pháo đài máy móc. Kết nối ssh hiện tại vẫn không có vấn đề gì, ngay cả sau khi thiết lập các quy tắc đó.
Tại sao?
