IPSec主机到主机VPN (RedHat)需要IP转发吗？

Question

我们希望构建一个主机到主机的IPSec VPN (都是RedHat Linux)。激活由于我们的安全策略(/etc/sysctl.conf net.ipv4.ip_forward = 0)而默认停用的IP转发是否真的是强制性的？

据我所知，VPN适配器必须将流量转发给其他网络适配器。然而，安全风险在于这两台服务器正在成为“路由器”。这些服务器有多个网络适配器，在这些适配器中应该分隔通信量。

应该/可以实施哪些控制？例如，将安全风险降到最低的iptable？

Answer 1

我只是对此做了一些研究，因为我和你坐在同一个位置；我已经建立了一个VPN，但我想确保我没有转发世界。

在内核中启用转发并不意味着所有东西都会通过iptables防火墙。但是，如果防火墙允许所有转发，您可能会遇到大麻烦。幸运的是，在默认情况下，iptables似乎可以DROP转发数据包。要查看防火墙转发策略，请执行iptables -L FORWARD。

FORWARD是用于IP转发的防火墙规则所在的链。如果您对转发数据包所经过的不同表和链感到好奇，请查看https://www.frozentux.net/iptables-tutorial/chunkyhtml/c962.html。

这就是我的FORWARD链在使用ufw防火墙的Ubuntu机器上使用单个VPN时的样子：

# iptables -L FORWARD
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       192.168.1.0/24       policy match dir in pol ipsec reqid 5 proto esp
ACCEPT     all  --  192.168.1.0/24       192.168.0.0/24       policy match dir out pol ipsec reqid 5 proto esp
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-before-forward  all  --  anywhere             anywhere
ufw-after-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-reject-forward  all  --  anywhere             anywhere

有些事情要注意：

• 默认操作是DROP (policy DROP，很好！)。
• 唯一的两个ACCEPT规则是用于已建立的IPSEC连接(policy match dir in pol ipsec reqid 5 proto esp和policy match dir out pol ipsec reqid 5 proto esp)。这些规则是由我的IPSEC应用程序自动添加的。
• 我的FORWARD链在ufw-before-logging-forward链上面等，当我调查他们的时候，我没有看到更多的ACCEPTs。也就是说，我应该是安全的。

下面是iptables -L的一段摘录，其中我查看了委托链：

# iptables -L
[...]

Chain ufw-after-forward (1 references)
target     prot opt source               destination

[...]

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

[...]

Chain ufw-before-forward (1 references)
target     prot opt source               destination
ufw-user-forward  all  --  anywhere             anywhere

[...]

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination

[...]

Chain ufw-reject-forward (1 references)
target     prot opt source               destination

[...]

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

[...]

Chain ufw-user-forward (1 references)
target     prot opt source               destination

[...]

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination