プロジェクト

全般

プロフィール

OpenVPN ファイアウォール設定

  • ゲートウェイなどFirewallを兼ねているサーバでのiptables設定です。
  • 接続・切断時に下記スクリプトを実行するよう実行しておき、iptablesをsaveします。
  • 具体的には、iptablesのルール定義用のスクリプトに組み込んでおくと良いようです。
  • ネットワークアドレスは個別に読み替えて下さい。

設定ファイル編集

  • 起動時FW設定スクリプトの作成
    # vi /etc/openvpn/openvpn-startup
    # ------------------------------------------------------
    #!/bin/bash
    
    # VPNインタフェースiptablesルール削除スクリプト実行
    /etc/openvpn/openvpn-shutdown
    
    # VPNサーバーからの送信を許可
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    
    # VPNクライアントからVPNサーバーへのアクセスを許可する
    iptables -I INPUT -i tun+ -j ACCEPT
    
    # VPNクライアントからLANへのアクセスを許可する
    iptables -I FORWARD -i tun+ -d 192.168.34.0/24 -j ACCEPT
    
  • 停止時FW設定スクリプトの作成
    # vi /etc/openvpn/openvpn-shutdown
    # ------------------------------------------------------
    #!/bin/bash
    
    # VPNインタフェース(tun+)用iptablesルール削除関数
    delete() {
        rule_number=`iptables -L $target --line-numbers -n -v|grep tun.|awk '{print $1}'|sort -r`
        for num in $rule_number
        do
            iptables -D $target $num
        done
    }
    
    # VPNインタフェース(tun+)用iptables受信ルール削除
    target='INPUT'
    delete
    
    # VPNインタフェース(tun+)用iptables転送ルール削除
    target='FORWARD'
    delete
    
    # VPNインタフェース(tun+)用iptables送信ルール削除
    target='OUTPUT'
    delete
    
  • 実行権限付与
    # chmod a+x /etc/openvpn/openvpn-*
    
    # ls -l /etc/openvpn/
    合計 60
    -rw-r--r-- 1 root root  1289  6月  2 19:43 ca.crt
    -rw-r--r-- 1 root root   540  6月  2 20:00 crl.pem
    -rw-r--r-- 1 root root   245  6月  2 19:54 dh1024.pem
    drwxr-xr-x 4 root root  4096  6月  2 19:18 easy-rsa
    -rwxr-xr-x 1 root root   530  6月  2 20:37 openvpn-shutdown
    -rwxr-xr-x 1 root root   502  6月  2 20:35 openvpn-startup
    -rw-r--r-- 1 root root 10484  6月  2 20:21 server.conf
    -rw-r--r-- 1 root root 10288  6月  2 20:16 server.conf.orig
    -rw-r--r-- 1 root root  3972  6月  2 19:50 server.crt
    -rw------- 1 root root   887  6月  2 19:49 server.key
    -rw------- 1 root root   636  6月  2 20:06 ta.key
    

 

戻る