我有一个运行 OpenVPN 的虚拟机,禁用了客户端到客户端,我需要一些特定的转发规则。 VM 上的 IP 转发已开启。
OpenVPN 基础网络是 172.30.0.0/16,并且根据自己的规则进一步细分为 /24 子网。
172.30.0.0/24 应该可以访问所有客户端。其余的不应该。我目前定义了 2 个子网; 172.30.0.0/24 和 172.30.10.0/24。
遵循此处底部的建议; https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/ - 我按如下方式设置规则;
iptables -A FORWARD -i tun1 -s 172.30.0.0/24 -j ACCEPT
iptables -P FORWARD DROP
这不起作用。如果我在顶部添加 -j LOG,我可以看到来自 172.30.0.1 客户端的流量可以正常连接到 172.30.10.3 的客户端,但它发送回的所有流量都被阻止。
如果我将策略设置为 ACCEPT 一切正常,我可以很好地连接到客户端,所以这不是路由问题。
我该如何设置?为什么 OpenVPN 指南中的建议不起作用?
答案 0 :(得分:0)
我通过添加解决了这个问题
iptables -A FORWARD -i tun1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
允许已建立的连接返回。现在一切正常。