Blokuj strony internetowe dla klientów VPN

0

Zainstalowałem IPSEC L2TP VPN Server na maszynie Ubuntu 12 x86 vps. Chcę zablokować niektóre witryny dla klientów podłączonych do serwera VPN. Tak więc zmieniono plik hosts w Ubuntu, aby zablokować dostęp do niechcianych stron internetowych w ten sposób: 0.0.0.0 www.unwanteddomain.com itp.

Kiedy próbuję połączyć niechciane strony internetowe z terminala w Ubuntu za pomocą wget www.unwanteddomain.com to mówi:

Rozwiązanie www.unwanteddomain.com (www.unwanteddomain.com) ... 0.0.0.0   Łączenie z www.unwanteddomain.com (www.unwanteddomain.com) | 0.0.0.0 |: 80 ... nie powiodło się: połączenie odrzucone.

Myślę, że funkcja plików hostów działa dobrze. Ale kiedy chcę otworzyć te strony internetowe z podłączonych klientów VPN, to nie działa. Nadal mogę uzyskać dostęp do wszystkich stron internetowych od klienta.

Jak to możliwe, że gdy serwer VPN nie ma dostępu do witryny, klient VPN może? A co muszę zrobić, aby zablokować te witryny również od klientów VPN?

IPTables.rules 

    filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :ICMPALL - [0:0]
    -A INPUT -m conntrack --ctstate INVALID -j DROP
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p icmp --icmp-type 255 -j ICMPALL
    -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
    -A INPUT -p tcp --dport 22 -j ACCEPT
    -A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
    -A INPUT -p udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
    -A INPUT -p udp --dport 1701 -j DROP
    -A INPUT -j DROP
    -A FORWARD -m conntrack --ctstate INVALID -j DROP
    -A FORWARD -i eth+ -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i ppp+ -o eth+ -j ACCEPT
    -A FORWARD -j DROP
    -A ICMPALL -p icmp -f -j DROP        
    -A ICMPALL -p icmp --icmp-type 0 -j ACCEPT
    -A ICMPALL -p icmp --icmp-type 3 -j ACCEPT
    -A ICMPALL -p icmp --icmp-type 4 -j ACCEPT
    -A ICMPALL -p icmp --icmp-type 8 -j ACCEPT
    - A ICMPALL -p icmp --icmp-type 11 -j ACCEPT
    -A ICMPALL -p icmp -j DROP
    COMMIT
    *nat
    :PREROUTING ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    -A POSTROUTING -s 192.168.42.0/24 -o eth+ -j SNAT --to-source 23.x.x.203
    COMMIT
linux  networking  ubuntu  vpn  ipsec 
Faruk KAHRAMAN
źródło
Korzystanie z pliku hosts jest okropnym sposobem na zablokowanie strony internetowej. Dlaczego po prostu nie skonfigurujesz DNS VPN w taki sposób, aby nie mógł rozwiązać tych domen?
Ramhound
Jak mogę skonfigurować DNS w Ubuntu? Wiem, że może to być plik hosts.
Faruk KAHRAMAN
Możesz uruchomić usługę DNS, jeśli chcesz. Co próbowałeś?
Ramhound
W rzeczywistości nic dla usługi DNS. Zastanawiam się jednak, jak to możliwe, aby strona dostępu do klienta VPN była dostępna, podczas gdy serwer VPN nie ma dostępu. Nie jestem pewien, czy klienci VPN nie będą mieli dostępu, jeśli zainstaluję usługę DNS, prawda?
Faruk KAHRAMAN
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.