Всем привет друзья!
Есть сервер, используемый в качестве VPN сервера для доступа к благам цивилизации через Европу, это VPN, который в данный момент успешно работает в следующем исполнении:
- Debian 10
- SoftEtherVPN Server (1 хаб, отрублено все, что ненужно, оставлена возможность подключаться с клиентов OpenVPN)
- В SoftEtherVPN отключен встроенный (медленный и ресурсоемкий) NAT и функции DHCP сервера.
- Вместо этого функции DHCP выполняет dnsmasq, а клиенты VPN вешаются на виртуальный интерфейс tap_virtual через local bridge: VPN Hub > tap_virtual
- В качестве управляющей оболочки для iptables установлен UFW, в котором настроено, что у нас есть FORWARDING ipv4 и внесено соответствующее правило перенаправления пакетов с eth0 на tap_virtual.
в /etc/ufw/before.rules добавлено и работает:
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.0.2.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
Таким образом всяк входящий на VPN в качестве пользователя получает высокоскоростной доступ в глобальную сеть.
клиенты vpn висят в подсети 10.0.2.0, внешний интерфейс eth0 соответственно выход в сеть.
Но, есть задача и есть проблема...
Задача: запретить клиентам VPN использовать: торренты, заходить на определенные сайты и пр., тоесть задача - защитить сервер от перегруза, если какой-нибудь любитель покачать захочет пересмотреть все серии Властелина Колец в 4K выкачиваю через торрент.
UFW работает как надо, напишешь ufw block, блокируются входящие соединения на IP сервера, можно заблокировать все исходящие соединения, но когда дело доходит до блокировки исходящих соединений на конкретные порты, например ufw deny out 443/tcp, это не работает.
Какие только правила для UFW не прописывал, не понимаю, как запретить всем пользователям VPN сидящим в подсети 10.0.2.0 доступ например к 443 или 80 или к протоколам и портам используемым торрентами.
Буду благодарен за светлые идеи!
Средний
