Я установил IPSEC L2TP VPN Server на машине с Ubuntu 12 x86 vps. Я хочу заблокировать некоторые веб-сайты для клиентов, подключенных к VPN-серверу. Итак, изменил файл hosts в Ubuntu, чтобы заблокировать доступ к нежелательным веб-сайтам:0.0.0.0 www.unwanteddomain.com и т.д.
Когда я пытаюсь подключить нежелательные веб-сайты с терминала в Ubuntu через wget www.unwanteddomain.com, он говорит:
Разрешение www.unwanteddomain.com (www.unwanteddomain.com)... 0.0.0.0 Соединение с www.unwanteddomain.com (www.unwanteddomain.com)| 0.0.0.0 |: 80 ... не удалось: соединение отклонено.
Так что я думаю, что функция файла hosts работает хорошо. Но когда я хочу открыть эти веб-сайты с подключенных VPN-клиентов, это не работает. Я все еще могу получить доступ ко всем веб-сайтам с клиента.
Как это возможно, что, хотя VPN-сервер не может получить доступ к сайту, VPN-клиент может? И что я должен сделать, чтобы заблокировать эти сайты также от VPN-клиентов?
IPTables.rules
filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:ICMPALL - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type 255 -j ICMPALL
-A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp --dport 1701 -j DROP
-A INPUT -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth+ -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth+ -j ACCEPT
-A FORWARD -j DROP
-A ICMPALL -p icmp -f -j DROP
-A ICMPALL -p icmp --icmp-type 0 -j ACCEPT
-A ICMPALL -p icmp --icmp-type 3 -j ACCEPT
-A ICMPALL -p icmp --icmp-type 4 -j ACCEPT
-A ICMPALL -p icmp --icmp-type 8 -j ACCEPT
- A ICMPALL -p icmp --icmp-type 11 -j ACCEPT
-A ICMPALL -p icmp -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.42.0/24 -o eth+ -j SNAT --to-source 23.x.x.203
COMMIT