Я знаком с Iptables, и недавно я хотел создать межсетевой экран Statefull, который подключен к серверу openvpn.

Если кто-то хочет объяснить, как, например, eth0 (WAN), eth1 (LAN) и tun0 (VPN) передают пакеты между собой?

Я говорю о цепочке FORWARD . У меня нет проблем с настройкой брандмауэра с двумя сетевыми картами, но я запутываюсь, если пытаюсь настроить его с помощью OpenVPN.

Спасибо!

1 ответ1

1

Существует два независимых потока пакетов - один для исходных пакетов из локальной сети, а другой для инкапсулированных пакетов в глобальную сеть.

Например, клиент локальной сети пытается связаться с удаленным хостом через VPN:

  1. Исходный пакет проходит через FORWARD и пересылается из eth1 в tun0 , где он используется OpenVPN.
  2. OpenVPN отправляет новый пакет "VPN", который проходит через OUTPUT и отправляется с межсетевого экрана на eth0 .

То же самое для ответов от VPN к локальной сети:

  1. Пакеты VPN принимаются по eth0 , проходят через INPUT и принимаются OpenVPN на межсетевом экране.
  2. Декапсулированные "оригинальные" пакеты выглядят так, как если бы они были получены через tun0 , и снова проходят через FORWARD к eth1 .

Что касается iptables, то tun0 - это обычный сетевой интерфейс, который подключен к еще одной сети - он ничем не отличается от, например, физического подключения eth2 с помощью очень длинного кабеля.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .