iptables FORWARD 规则阻止 return 流量
iptables FORWARD rule blocking return traffic
我有一个禁用客户端到客户端的 VM 运行 OpenVPN,我需要一些特定的转发规则。 VM 上的 IP 转发已打开。
OpenVPN 基础网络是 172.30.0.0/16,并根据自己的规则进一步细分为 /24 个子网。
172.30.0.0/24 应该可以访问所有客户端。其余的应该不会。我现在定义了 2 个子网; 172.30.0.0/24 和 172.30.10.0/24.
按照此处底部的建议;
https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/ - 我的规则设置如下;
iptables -A FORWARD -i tun1 -s 172.30.0.0/24 -j ACCEPT
iptables -P FORWARD DROP
这不起作用。如果我在顶部添加 -j LOG,我可以看到来自 172.30.0.1 的客户端的流量可以正常连接到 172.30.10.3 的客户端,但是它发送回的所有流量都被阻止了。
如果我将策略设置为接受,一切正常,我可以很好地连接到客户端,所以这不是路由问题。
我该如何设置?为什么该 OpenVPN 指南中的建议不起作用?
我通过添加
解决了这个问题
iptables -A FORWARD -i tun1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
允许与 return 建立连接。现在一切正常。
我有一个禁用客户端到客户端的 VM 运行 OpenVPN,我需要一些特定的转发规则。 VM 上的 IP 转发已打开。
OpenVPN 基础网络是 172.30.0.0/16,并根据自己的规则进一步细分为 /24 个子网。
172.30.0.0/24 应该可以访问所有客户端。其余的应该不会。我现在定义了 2 个子网; 172.30.0.0/24 和 172.30.10.0/24.
按照此处底部的建议; https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/ - 我的规则设置如下;
iptables -A FORWARD -i tun1 -s 172.30.0.0/24 -j ACCEPT
iptables -P FORWARD DROP
这不起作用。如果我在顶部添加 -j LOG,我可以看到来自 172.30.0.1 的客户端的流量可以正常连接到 172.30.10.3 的客户端,但是它发送回的所有流量都被阻止了。
如果我将策略设置为接受,一切正常,我可以很好地连接到客户端,所以这不是路由问题。
我该如何设置?为什么该 OpenVPN 指南中的建议不起作用?
我通过添加
解决了这个问题iptables -A FORWARD -i tun1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
允许与 return 建立连接。现在一切正常。