これが私の環境です。
- ASUS RT-AC88UのAsusWRT-Merlin FW 380.67
- AirVPN を使用してルーターに OpenVPN クライアントを設定する
- 私のルーターでOpenVPNサーバー10.8.1.0/24を有効にしました。
- 内部ホームLANは192.168.xx/24です。
- 複数の刑務所を実行するFreeNASサーバーがあります。 - 192.168.1.26 = OpenVPNクライアントを介してインターネットにストリーミング
VPNを使用している場合は、ホームLAN上の192.168.1.26のトランスポート刑務所にアクセスするためにのみ問題があります。これは、ルーターページの「OpenVPNクライアント」タブの「インターネットトラフィックリダイレクト」オプションで「厳密なポリシールール」設定を使用しているためです。厳格なオプションを使用するとセキュリティが向上しますが、トンネルの特別な規則が必要です。トラフィック転送を許可するインターフェイスです。 「ポリシールール」に変更するとトランスポートサーバーに接続できますが、セキュリティを強化したいと思います。 380.66の変更ログの説明。 、2017)、
新機能:「ポリシールール(厳格)」というOpenVPNクライアントの新しいインターネットリダイレクトモードが追加されました。従来の「ポリシールール」モードとの違いは、ストリンジェントモードではトンネルインターフェイスに固有のルールのみが使用されることです。これにより、グローバルまたは他のトンネルパスを介してトラフィックが漏洩することはありませんが、WANレベルで定義された静的ルートも複製されません。
これにより iptables が表示されます。これは私のnat-startスクリプトです。私の目標は、トランスポートIPへのアクセスを許可しながら、ある程度セキュリティを備えた半単純なスクリプトを作成することです。私のスクリプトを見ると、私は別の行を試してみましたが、うまくいかなかったときにコメントアウトしたことがわかります。
#!/bin/sh
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan1 -j DROP
#iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o tun21 -j MASQUERADE
iptables -t nat -I PREROUTING -i tun11 -p tcp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -t nat -I PREROUTING -i tun11 -p udp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -I FORWARD -i tun11 -p udp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun11 -p tcp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT
どんな助けでも大変感謝します。