我有一个运行OpenVPN的虚拟机,禁用了客户端到客户端,我需要一些特定的转发规则。VM上的IP转发已打开。
OpenVPN基本网络为172.30.0.0/16,并根据其自身规则进一步细分为/24个子网。
172.30.0.0/24应能够访问所有客户端。其余的不应该。我目前定义了2个子网;172.30.0.0/24和172.30.10.0/24。
遵循此处底部的建议;https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/-我制定了以下规则;
iptables -A FORWARD -i tun1 -s 172.30.0.0/24 -j ACCEPT
iptables -P FORWARD DROP
这不起作用。如果我在顶部添加-j LOG,我可以看到从172.30.0.1的客户端到172.30.10.3的客户端的流量连接良好,但它发送回的所有流量都被阻止。
如果我将策略设置为ACCEPT,一切都会正常,并且我可以很好地连接到客户端,所以这不是路由问题。
我该如何设置?为什么OpenVPN指南中的建议不起作用?
我通过添加解决了这个问题
iptables -A FORWARD -i tun1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
这允许已建立的连接返回。现在一切如愿以偿。