statefulではLAN側のfirewallに許可されてアクセスしたIPからの返信は、WAN側のfirewallにdenyされる設定でも通す。
WAN側の設定
1.
FROM 127.x.x.x
TO *
PORT *
STATUS Allow
2.
FROM *
TO *
PORT *
STATUS Deny
弊ラボではPORT1194への外部からのアクセスのみVPN用に開けている。
firewallの設定は1.が最優先となり,2.,3.が次に続く。
googleだけアクセスしてはいけない場合のLAN設定
1.
FROM 172.x.x.x
TO google.com
PORT *
STATUS Deny
2.
FROM 172.x.x.x
TO *
PORT *
STATUS Allow
key: ホワイトリスト方式
OpenVPNには、
・ L2(tap)方式-> Bridge
ブリッジもインターフェースの一つなのでそこにIPを割り当てる。
そこからはLANインターフェースの口に繋ぐかOVPNインターフェースの口に繋ぐかなので一緒のネットワークに見える。
・ L3(tunnel)方式-> NAT
変換処理にはcpu使うので通信速度が遅め。
ルールを決めるのはルータに入っているOSでpfsenseはその一つ。
ルータはNICが二つ(WAN/LAN)があればいいのでPCにルータOSを組み込めばルータになる。