Wenn die Clients den gesamten Datenverkehr an den Server weiterleiten (dh mit leftsubnet=0.0.0.0/0
), müssen Sie nur sicherstellen, dass die privaten Dienste nur über VPN erreichbar sind. Mit strongSwan ist das ganz einfach zu erreichen. Akzeptieren Sie einfach IKE- und IPsec-Verkehr (und möglicherweise SSH und andere Protokolle, die Sie zulassen möchten) in der INPUT
Kette, und legen Sie die Standardrichtlinie auf Folgendes fest DROP
:
# allow ESP iptables -A INPUT -p 50 -j ACCEPT # allow IKE iptables -A INPUT -p udp --dport 500 -j ACCEPT # allow NAT-T (IKE and ESP-in-UDP) iptables -A INPUT -p udp --dport 4500 -j ACCEPT # allow SSH and other protocols iptables -A INPUT -p tcp --dport 22 -j ACCEPT ... # drop packets by default iptables -P INPUT DROP
Dann konfiguriert leftfirewall=yes
und lefthostaccess=yes
in ipsec.conf
so dass strongSwan automatisch Regeln einfügen, um Ihren VPN - Clients ermöglichen, auf den Server zuzugreifen. Diese Regeln verwenden das IPsec-Richtlinienanpassungsmodul für iptables / Netfiler ( -m policy
), sodass sie nur für den Datenverkehr gelten, der von etablierten IPsec-Tunneln stammt.