нужна помощь с маршрутизацией

[DedjeL]

Есть сеть 192.168.0.0, в ней 2 сервера.
Есть клиент подключаемый по openvpn 10.8.0.0/24. Мне нужно ограничить доступ ему, дать доступ только к 2 серверам, дабы не видел локальные машины в 192.168.0.0

[fisher74]

push route 192.168.0.0 255.255.255.0
push route 192.168.0.15 255.255.255.255
push route 192.168.0.36 255.255.255.255

Это если чисто маршрутизацией.
Но никто не мешает пользователю самому добавить "правильный" маршрут. Потому, если хочется именно изолировать,то нужно ещё и iptables-ами докручивать

[DedjeL]

а с iptables?
У меня просто не одна группа клиентов.
Хочу сделать по схеме.

Класс|              Виртуальный IP-диапазон            |   Допустимый режим достапу к LAN
Админы|                   10.8.0.0/24                 |          Вся подсеть
Сотрудники|             10.8.1.0/24                 |           Сервер 1 и 2
Внешние сотрудники|   10.8.2.0/24                 |           Сервер1

Пробовал так:
#Открываем для сотрудников
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.55 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.101 -j ACCEPT
#Открываем для админов
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 192.168.0.0/24 -j ACCEPT
#Открываем для внешних сотрудников
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 192.168.0.55 -j ACCEPT

[fisher74]

если FORWARD -P DROP, то вектор правильный

З.Ы. только в схеме и в камментах сети админов и сотрудников перепутаны

[DedjeL]

Спасибо. Понял)
FORWARD -P ACCEPT был

[fisher74]

FORWARD -P ACCEPT был

Вы там аккуратнее. Политика безопасности строиться по принятым в данном сегменте принципам. Условно есть два  основных варианта:
1. Все разрешено, кроме (это -P ACCEPT, а остальные правила запрещающие)
2. Всё запрещено, кроме (это -P DROP, а остальные правила разрещающие)
Соответственно по разному строиться и управление трафиком.
Я к тому, что нельзя очертя голову менять дефолтную политику netfilter. Нужно обязательно убедиться, что предыдущие разрешения или запреты не умерли.

[DedjeL]

т.е не понял.
 "-P DROP"  Режет все кроме имеющихся правил?

[fisher74]

угу, весь транзитный трафик, кроме имеющихся разрешающих правил.
Под транзитным подразумевается весь транзит через данный шлюз, а не только через tun+