我们目前有一个在Linux VM中运行的OpenVPN服务器。服务器运行时,将创建一个虚拟接口(tunX)。这使我们可以使用iptables来表示类似的内容:如果流量来自tunX,则允许其访问子网192.168.95.0/24,但除此之外别无其他。例如,我们甚至可以指定允许客户端仅与192.168.95.7对话,而在子网中则无话可言。
我正在研究在Docker容器中运行OpenVPN的可能性。如果这样做,是否有最佳实践,或有什么方法可以限制客户端一旦连接就可以访问哪些IP /子网?
我知道您可以将OpenVPN配置为仅将某些路由推送到客户端,但是在服务器上没有防火墙的情况下,任何客户端都可以手动将更多路由手动添加到其路由表中,从而迫使更多流量通过隧道。