Как запретить траффик с OpenVPN сервера на определенные IP адреса?

Question

[Вадим]

установил OpenVPN сервер, с которого хочу запретить трафик на, например ip x.y.z.a, порты 443 и 80. Выполнил вроде стандартную команду

sudo ufw disable
sudo ufw deny out from any to x.y.z.a port 443
sudo ufw deny out from any to x.y.z.a port 80
sudo ufw enable

Rules появились в списке, тем не менее при попытке выйти на сайт (с подключением к vpn), кот резолвится по данному IP, никаких ограничений нет.

Comments

[Valentin Barbolin]

Показывай iptables-save

Answer 1

[Alexey Dmitriev]

Команда не верная - ufw управляет только пакетами на вход и на выход, все остальное - через backend к iptables.
У вас пакеты транзитные, вам нужен iptables -A FORWARD

Comments

[Вадим]

спасибо, не хочу еще путать ufw с ip tables, можете подсказать пример команды, чтобы изменить секцию iptables -A FORWARD - например запретить исходящий tcp 443 на 10.10.10.1 ? Типа этого?

sudo iptables -A FORWARD -i tun0 -o eth0 -p tcp -d 10.10.10.1  --dport 443 -j DROP

Или придется напрямую использовать ip tables? Я вот просто думаю, не затрет ли ufw эти правила ip tables после enable?

[Alexey Dmitriev]

Вадим, типа этого, пробуйте, гуглите и если что-то не получится, спрашивайте.