Фильтрация трафика на OpenVPN сервере силами ufw

Garipov72

New member
Сообщения
12
#1
Добрый день,
Нужен ваш совет. Есть OpenVPN сервер, все вроде работает, клиенты подключаются, трафик ходит, каждому клиенту выдается индивидуальный маршрут с доступом на его ПК.
Решил я закончить настройку и оставить возможность трафику от клиента в сеть ходить только по одному порту.
Стал я ufw мучить на OpenVPN сервере, с целью запретить трафик от клиентов в сеть и очень разочаровался т.к. не смог этого добиться.
deny (incoming), deny (outgoing), deny (routed) все равно пропускает трафик от OpenVPN клиентов внутрь сети (разрешающих правил нет).

Вопрос: вообще возможно на стороне OpenVPN сервера проводить фильтрацию клиентского трафика? Если да, то подскажите куда стоит заглянуть.
 

oko

New member
Сообщения
1 257
#2
to Garipov72
Вы RDP-сессию между удаленной машиной в Интернет и рабочей машиной внутри сети хотите реализовать? Тогда рекомендую ssl-прокси аля stunnel - это удобнее, быстрее и проще, чем поднимать виртуальные частные сети (VPN)...
Касательно остального, не помню в части ufw, но средствами netfilter/iptables ваша задача по блокировке доступа к другим сетевым ресурсам/портам должна решаться в цепочке правил FORWARD на том сервере-шлюзе, где установлен openvpn-сервер...
 

Garipov72

New member
Сообщения
12
#3
Спасибо, но VPN уже развернут и есть трафик который не по RDP ходит. Мне и хотелось бы оставить не RDP только нужным компьютерам.
ufw, по сути, это надстройка, которая и меняет правила iptables, но вот трафик OpenVPN он почему-то игнорирует.
Попробую iptables напрямую поковырять, но не уверен, что это будет правильно если в системе есть ufw. Спасибо за совет.
 

Garipov72

New member
Сообщения
12
#4
Разобрался в чем было дело.
По сути ufw это немного более удобная надстройка над iptables, которая в конечном итоге и правит балом.
На самом деле все работало, но в коробке в файле /etc/ufw/before.rules есть правила для iptables которые разрешают ходить ping-у (собственно по нему и судил о работоспособности). При этом в самих правилах ufw не будет этой информации. Данные правила убрал и все стало прекрасно. Попытки обращаться к другим портам разрешаются/запрещаются ровно так как описано в ufw правилах.