Ho un router Debian collegato direttamente a Internet. Ha 3 interfacce: eth0 (internet / wan), eth1 (lan), tun0 (vpn).
Tutto il traffico dovrebbe essere indirizzato tramite tun0 vpn. È un'installazione debian minima con isc-dhcp-server installato per gli indirizzi IP eth1 (lan).
Le regole della tabella ip sono disponibili in link
#!/bin/sh -e
#default policy to drop all incoming packets
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP
iptables -A INPUT -i eth0 -p tcp --dport 48000 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m conntrack \
--ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE
#accept incoming packets from localhost and the LAN interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
#accept incoming packets from the WAN if the router intiated the connection
iptables -A INPUT -i eth0 -m conntrack \
--ctstate ESTABLISHED,RELATED -j ACCEPT
#forward LAN packets to the WAN
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#forward WAN packets to the LAN if the LAN initiated the connection
iptables -A FORWARD -i eth0 -o eth1 -m conntrack \
--ctstate ESTABLISHED,RELATED -j ACCEPT
#NAT traffic going out to the WAN interface
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
exit 0
La LAN dovrebbe essere in grado di inviare a WAN / Internet. Le connessioni in entrata dovrebbero essere SOLO se la LAN o il router l'hanno avviato. Potrei anche portare avanti 40000 alla LAN.
Queste regole sono abbastanza sicure? Può essere più semplificato?