Chcę skonfigurować firewall na routerze (debian) w taki sposób, że dostęp do niego będzie tylko przez VPN. Z sieci nie powinien wychodzić żaden ruch poza tym do klientów VPN. Czy poniższa konfiguracja jest poprawna?
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# --- LOOPBACK ---
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
# --- Zezwolenie na ruch już ustanowiony (odpowiedzi) ---
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# --- VPN: dostęp do serwera ---
-A INPUT -p udp --dport 1194 -j ACCEPT
-A OUTPUT -p udp --sport 1194 -j ACCEPT
# --- FORWARD: VPN <-> LAN ---
# klient VPN 10.8.0.0/24 do LAN 192.168.88.0/24
-A FORWARD -s 10.8.0.0/24 -d 192.168.88.0/24 -j ACCEPT
# odpowiedzi z LAN do VPN
-A FORWARD -d 10.8.0.0/24 -s 192.168.88.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# brak MASQUERADE = brak dostępu VPN do Internetu
COMMIT