Как запретить трафик мимо openvpn?

Question

[nikmih]

как при отвале (обрыве, завис/выкинул сервер с той стороны) соединения openvpn не давать трафик на провайдера. т.е. только трафик через openvpn соединение. ubuntu. адреса серверов, шлюзы каждый раз разные.

Answer 1

[hint000]

Через iptables.

# разрешаем уже установленные соединения
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# разрешаем исходящие на порт OpenVPN
-A OUTPUT -p udp --dport 1194 -j ACCEPT
# разрешаем исходящие с хоста через туннель
-A OUTPUT -o tun+ -j ACCEPT
# если этот хост является шлюзом, то разрешаем из локалки наружу через туннель (вопрос NAT оставим за кадром)...
-A FORWARD -o tun+ -j ACCEPT
# ...и внутрь в локалку
-A FORWARD -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -d 172.16.0.0/12 -j ACCEPT
-A FORWARD -d 10.0.0.0/8 -j ACCEPT
# всё остальное запрещаем
-A OUTPUT -j DROP
-A FORWARD -j DROP

Если хост не является шлюзом для других, то все правила с цепочкой FORWARD не нужны.

Answer 2

[meDveD_spb]

разрешить на выход только порт openvpn.