Score:0

Server

จะบล็อกการเข้าถึงอินเทอร์เน็ตสำหรับไคลเอนต์ OpenVPN และจำกัดการรับส่งข้อมูลไปยังเครือข่าย VPN ได้อย่างไร (ติดตั้งด้วย openvpn-install)

Ben Anderson

18/9/23 12:59

ฉันตั้งค่าเซิร์ฟเวอร์ OpenVPN โดยใช้ openvpn-ติดตั้ง. ฉันต้องการให้ไคลเอนต์สามารถเชื่อมต่อกับเซิร์ฟเวอร์ VPN ได้ แต่ทราฟฟิกใด ๆ ที่มุ่งสู่อินเทอร์เน็ตแทนที่จะเป็นเครือข่ายท้องถิ่นของ VPN ควรถูกบล็อก

ฉันได้เห็นวิธีแก้ปัญหามากมายที่เสนอให้เพิ่ม ดัน คำสั่งให้ เซิร์ฟเวอร์.conf ร้องขอให้ไคลเอ็นต์ใช้เครือข่ายของตนเองสำหรับการรับส่งข้อมูลทางอินเทอร์เน็ตโดยค่าเริ่มต้น อย่างไรก็ตาม คำขอเหล่านี้สามารถถูกเพิกเฉยโดยไคลเอ็นต์ - นี่ไม่ใช่สิ่งที่ฉันต้องการ

ฉันต้องการให้ไคลเอนต์ VPN สามารถเข้าถึงเครือข่าย VPN ท้องถิ่นได้เท่านั้น (ที่ 10.8.0.0/24) เซิร์ฟเวอร์ VPN ควรปฏิเสธการรับส่งข้อมูลอื่นทั้งหมด และไคลเอนต์ควรใช้เครือข่ายของตนเอง

ฉันจะบังคับให้บล็อกทราฟฟิกอินเทอร์เน็ตจากไคลเอนต์ VPN ได้อย่างไร

0 + 0

ลินุกซ์

อูบุนตู

ฮาร์ดไดรฟ์

iptables

พีซีไอ

Score:0

Server

Ben Anderson

18/9/23 12:59

ซึ่งสามารถทำได้โดยการใช้ iptablesโดยการบล็อกทราฟฟิกที่มุ่งหน้าจากอินเทอร์เฟซเครือข่าย OpenVPN ไปยังอินเทอร์เฟซเครือข่ายด้วยการเข้าถึงอินเทอร์เน็ต

openvpn-ติดตั้ง สร้างไม่กี่ iptables ไฟล์การกำหนดค่าที่จัดการกฎสำหรับคุณ

คำแนะนำต่อไปนี้ถือว่า:

จูน0 เป็นอินเทอร์เฟซเครือข่ายของ OpenVPN
eth0 เป็นอินเทอร์เฟซเครือข่ายที่มีการเข้าถึงอินเทอร์เน็ต

กฎการทำความสะอาดเบื้องต้น

ก่อนอื่น เราต้องปิดการใช้งานกฎปัจจุบันที่โหลดโดย openvpn-install โดยเรียกใช้คำสั่งต่อไปนี้:

systemctl หยุด iptables-openvpn

ไฟล์การกำหนดค่า

หมายเหตุ: ใช้ หยด แทน ปฏิเสธ ยังใช้ได้เช่นกัน เพียงแต่ไม่ส่งคืนข้อผิดพลาดไปยังไคลเอนต์ VPN ดู หน้าคน iptables สำหรับข้อมูลเพิ่มเติม

เพิ่ม openvpn-rules.sh

ใน /etc/iptables/add-openvpn-rules.shให้เปลี่ยนบรรทัดจาก:

iptables -I FORWARD 1 -i tun0 -o eth0 -j ยอมรับ

ถึง:

iptables -I FORWARD 1 -i tun0 -o eth0 -j REJECT

rm-openvpn-rules.sh

ใน /etc/iptables/rm-openvpn-rules.shให้เปลี่ยนบรรทัดจาก:

iptables -D FORWARD -i tun0 -o eth0 -j ยอมรับ

ถึง:

iptables -D FORWARD -i tun0 -o eth0 -j ปฏิเสธ

การใช้การเปลี่ยนแปลง

เรียกใช้คำสั่งต่อไปนี้และการเปลี่ยนแปลงของคุณควรได้รับการบันทึกและมีผล:

systemctl เริ่ม iptables-openvpn

แยกอุโมงค์

จากนั้นสามารถใช้การพุชเส้นทางไปยังไคลเอ็นต์ VPN เพื่อขอให้ส่งทราฟฟิกอินเทอร์เน็ตผ่านเครือข่ายของตนเอง นี่คือบรรทัดที่ฉันเพิ่มใน OpenVPN ของฉัน เซิร์ฟเวอร์.conf ไฟล์เพื่อให้บรรลุสิ่งนี้ (เครือข่าย VPN ของฉันอยู่ที่ 10.8.0.0/24):

กด "เส้นทาง 10.8.0.0 255.255.255.0 vpn_gateway"
กด "เส้นทาง 0.0.0.0 0.0.0.0 net_gateway"

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to block internet access for OpenVPN clients and restrict traffic to VPN network? (Installed with openvpn-install)

TH: จะบล็อกการเข้าถึงอินเทอร์เน็ตสำหรับไคลเอนต์ OpenVPN และจำกัดการรับส่งข้อมูลไปยังเครือข่าย VPN ได้อย่างไร (ติดตั้งด้วย openvpn-install)

RO: Cum să blochezi accesul la internet pentru clienții OpenVPN și să restricționezi traficul către rețeaua VPN? (Instalat cu openvpn-install)

RU: Как заблокировать доступ в Интернет для клиентов OpenVPN и ограничить трафик в сети VPN? (устанавливается с помощью openvpn-install)

VI: Làm cách nào để chặn truy cập internet cho máy khách OpenVPN và hạn chế lưu lượng truy cập vào mạng VPN? (Cài đặt với openvpn-install)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา