iptablesとtunインターフェースを備えたOpenVPN
Tunデバイスを使用するopenvpnトンネルでは、どのiptablesルールがカプセル化されたトラフィックの通過を許可し、どのルールがカプセル化後にパケットを制御しますか?基本的に、操作の順序がiptablesとopenvpnでどのように機能するのか、またこれがチェーンにどのように関連するのか疑問に思っています。
プレーンテキストトラフィックは、tunXデバイスに出入りします。 iptablesの-i tun+および-o tun+オプションは、任意のtunインターフェースに一致し、それを処理するのに役立ちます。
暗号化されたトラフィックは、ポート1194のUDP/TCP、または指定したようにイーサネットインターフェイスのUDP/TCPになります。サーバーへのトラフィックをフィルタリングするときは、OpenVPN暗号化パケットを許可することを忘れないでください。
チェーンに関しては、入ってくる暗号化されたトラフィックはopenvpnサーバーで終了すると見なされるため、これがINPUTチェーンです。暗号化されたトラフィックがサーバーから発信されたと見なされるため、これがOUTPUTチェーンです。内部ネットワークとtunXインターフェイス間を通過するトラフィックは、FORWARDチェーンの責任です。
トンネルを通過するトラフィックの場合、tunインターフェイスからethインターフェイスへのトラフィックを許可するようにFORWARDルールを設定する必要があります。次のルールのように、特定の範囲でtun0からRDPへのアクセスが許可されます。
-A FORWARD -i tun0 -p tcp --dport 3389 -d 192.168.0.0/24 -j ACCEPT
転送ルールの後、ethインターフェースに確立された/関連するルールがある場合、トラフィックが戻ることを許可します。