Tengo acceso VPN usando OpenVPN e intento crear una máquina segura que no filtre tráfico a través de interfaces no VPN. Usando el firewall UFW intento conseguir lo siguiente:
- Permitir el acceso desde la LAN a la interfaz web de la máquina
- De lo contrario, sólo permitir el tráfico en tun0 (OpenVPN-Túnel de interfaz cuando se establece)
- Rechazar (¿o reenviar?) cualquier tráfico a través de otras interfaces
Actualmente estoy usando las siguientes reglas (sudo ufw status):
To Action From
-- ------ ----
192.168.42.11 9999/tcp ALLOW Anywhere # allow web-interface
Anywhere on tun0 ALLOW Anywhere # out only thru tun0
Anywhere ALLOW OUT Anywhere on tun0 # in only thru tun0
Mi problema es que la máquina inicialmente no es capaz de establecer la conexión OpenVPN ya que sólo se permite tun0, que aún no se ha establecido (chicken-egg-problem)
¿Cómo puedo permitir la creación de la conexión OpenVPN y, a partir de ese momento, forzar que todos los paquetes pasen por el túnel VPN?