OpenVPN ファイアウォール設定¶
- ゲートウェイなどFirewallを兼ねているサーバでのiptables設定です。
- 接続・切断時に下記スクリプトを実行するよう実行しておき、iptablesをsaveします。
- 具体的には、iptablesのルール定義用のスクリプトに組み込んでおくと良いようです。
- ネットワークアドレスは個別に読み替えて下さい。
設定ファイル編集¶
- 起動時FW設定スクリプトの作成
# vi /etc/openvpn/openvpn-startup # ------------------------------------------------------ #!/bin/bash # VPNインタフェースiptablesルール削除スクリプト実行 /etc/openvpn/openvpn-shutdown # VPNサーバーからの送信を許可 iptables -I OUTPUT -o tun+ -j ACCEPT iptables -I FORWARD -o tun+ -j ACCEPT # VPNクライアントからVPNサーバーへのアクセスを許可する iptables -I INPUT -i tun+ -j ACCEPT # VPNクライアントからLANへのアクセスを許可する iptables -I FORWARD -i tun+ -d 192.168.34.0/24 -j ACCEPT
- 停止時FW設定スクリプトの作成
# vi /etc/openvpn/openvpn-shutdown # ------------------------------------------------------ #!/bin/bash # VPNインタフェース(tun+)用iptablesルール削除関数 delete() { rule_number=`iptables -L $target --line-numbers -n -v|grep tun.|awk '{print $1}'|sort -r` for num in $rule_number do iptables -D $target $num done } # VPNインタフェース(tun+)用iptables受信ルール削除 target='INPUT' delete # VPNインタフェース(tun+)用iptables転送ルール削除 target='FORWARD' delete # VPNインタフェース(tun+)用iptables送信ルール削除 target='OUTPUT' delete
- 実行権限付与
# chmod a+x /etc/openvpn/openvpn-* # ls -l /etc/openvpn/ 合計 60 -rw-r--r-- 1 root root 1289 6月 2 19:43 ca.crt -rw-r--r-- 1 root root 540 6月 2 20:00 crl.pem -rw-r--r-- 1 root root 245 6月 2 19:54 dh1024.pem drwxr-xr-x 4 root root 4096 6月 2 19:18 easy-rsa -rwxr-xr-x 1 root root 530 6月 2 20:37 openvpn-shutdown -rwxr-xr-x 1 root root 502 6月 2 20:35 openvpn-startup -rw-r--r-- 1 root root 10484 6月 2 20:21 server.conf -rw-r--r-- 1 root root 10288 6月 2 20:16 server.conf.orig -rw-r--r-- 1 root root 3972 6月 2 19:50 server.crt -rw------- 1 root root 887 6月 2 19:49 server.key -rw------- 1 root root 636 6月 2 20:06 ta.key
¶
¶