Hallo zuammen,
da meine vorherige Frage bezüglich OpenVPN Split-Tunnel noch nicht beantwortet wurde, wollte ich fragen ob das generelle sperren über die Firewall IPTABLES der bessere Weg ist. Derzeit sieht der Inhalt meiner v4 rules folgendermaßen aus.
Code
# Generated by xtables-save v1.8.2 on Sat Aug 28 11:01:55 2021
*filter
:INPUT DROP [649:78666]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1848:292907]
-A INPUT -i eth0 -p udp -m udp --dport 51820 -m comment --comment wireguard-input-rule -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -m comment --comment openvpn-input-rule -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9981 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9982 -j ACCEPT
-A FORWARD -d 10.6.0.0/24 -i eth0 -o wg0 -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment wireguard-forward-rule -j ACCEPT
-A FORWARD -s 10.6.0.0/24 -i wg0 -o eth0 -m comment --comment wireguard-forward-rule -j ACCEPT
-A FORWARD -d 10.8.0.0/24 -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "openvpn-forward$"
-A FORWARD -s 10.8.0.0/24 -i tun0 -o eth0 -m comment --comment openvpn-forward-rule -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -o wg0 -j ACCEPT
COMMIT
# Completed on Sat Aug 28 11:01:55 2021
# Generated by xtables-save v1.8.2 on Sat Aug 28 11:01:55 2021
*nat
:PREROUTING ACCEPT [779:85800]
:INPUT ACCEPT [234:15558]
:POSTROUTING ACCEPT [29:2164]
:OUTPUT ACCEPT [351:23004]
-A POSTROUTING -s 10.6.0.0/24 -o eth0 -m comment --comment wireguard-nat-rule -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -m comment --comment openvpn-nat-rule -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Aug 28 11:01:55 2021
Alles anzeigen
Was müßte ich denn eintragen, damit der OpenVPN Client mit der IP 10.8.0.2 (oder mehr Clients) nur Zugriff auf meine FritzNAS mit der IP 192.168.0.1 hat, also kein Internetzugriff, und kein Zugriff auf andere LAN-Addressen? Danke
Gruss