Iptables или UFW | Настройка OpenVPN Server?

Question

[elusive94]

Добрый вечер.

Есть VPS сервер с Ubuntu на EC2 Amazon. Настраиваю OpenVPN сервер. Нашел очень хороший туториал под нынешнюю версию OpenVPN с Easy-rsa 3, но в ней UFW. Базовую настройку сделал хорошо. Вот не могу понять как настроить firewall, на некоторых статьях пишут конфиг под iptables на других под UFW. Самому же больше хочется стандартный iptables.

Хотел бы понять следующие конфигурации UFW и переписать их под iptables.

Правила в /etc/ufw/before.rules

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0] 
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

В файле /etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"

Еще команды для UFW

$ sudo ufw allow 1194/udp
$ sudo ufw allow OpenSSH

Для наглядности приведу из другой статьи настройку iptables

iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Вот еще другие настройки под iptables

iptables -A FORWARD -s 10.128.0.0/24 -j ACCEPT
iptables -A FORWARD -d 10.128.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.128.0.0/24 -j SNAT --to-source 123.45.67.89

Помогите кто может.

Comments

[zorruch]

Ключевое тут - NAT
Поэтому попробуйте
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

где 10.8.0.0/24 - это адрес сети, которая "висит" на tun/tap интерфейсе.

И будет вам счастье.

Answer 1

[krosh]

Ключевые слова для поиска: "шлюз iptables".

Опция для проброса трафика через хост:
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

Для выхода в интернет используем SNAT вместо маскарадинга (но это если у Вас статический внешний IPv4):
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to-source 211.233.44.5

Предварительно, при этом предполагаем, что других правил нет, т.к. эти должны идти первыми:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -А FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Разрешаем 1194/udp, SSH:
iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 1194 -j ACCEPT

Блокируем все остальное:
iptables -P INPUT DROP
iptables -P FORWARD DROP

Comments

[elusive94]

Благодарю за подробный ответ!