iptables 模拟4个路由器功能 做openvpn 站到站实验
真实环境: openvpn服务器 - 网关 - ISP - 网关 - openvpn客户端 - 使用openvpn客户端做网关连接进入虚拟网 (最少需要6台主机做实验)
使用iptables模拟不同网络 网关-ISP-网关 使用一台就够了 (如果是2个网络节约2台 3个网络节约4台 ... )
iptables策略
不同网络之间 所有网络访问 1194 端口 允许
不同网络之间 所有网络访问内网网段 除1194的其他端口 拒绝
其他全部允许 (实验用 权限开大点 能完成实验就行 真实环境这里是全部拒绝)
网络1 192.168.10.0/24
网络2 192.168.11.0/24
网络3 192.168.12.0/24
网络4 192.168.13.0/24
( 4个网络 模拟 站-多站 通讯 )
#开启路由功能
echo 1 > /proc/sys/net/ipv4/ip_forward
sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
配置iptables脚本
#!/bin/bash
iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.11.0/24 -d 192.168.11.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.12.0/24 -d 192.168.12.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.13.0/24 -d 192.168.13.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -d 192.168.10.0/24 -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -d 192.168.11.0/24 -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -d 192.168.12.0/24 -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -d 192.168.13.0/24 -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -d 192.168.10.0/24 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -d 192.168.11.0/24 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -d 192.168.12.0/24 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -d 192.168.13.0/24 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
service iptables save
service iptables restart
