OpenVPNサーバ側設定（６）iptables設定 - 別館子子子子子子（ねこのここねこ）はてブロ部

OpenVPNサーバのあるネットワークを192.168.100.0/24とする。
OpenVPNサーバのIPアドレスは192.168.100.100。

Webminのネットワーク > Linuxファイヤウォールにて、着信パケット(INPUT)と転送パケット(FORWARD)に以下の設定を追加する。

実行するアクション：許可
着信インターフェース：等しい：Other..：tun+

また、転送パケット(FORWARD)に以下の設定を追加する。

実行するアクション：許可
発信インターフェース：等しい：Other..：tun+

今回のVPNではtun0を作るのだが、tun+とすることで包括的な表記になる、のだと思う。詳しくは分からない。
いずれにせよ、FORWARDにtun0←→eth0と通れる設定を行う。これをしておかないとデフォルトのDROPが適用されてパケットが破棄されてしまう。

また、OpenVPNのポート1194あてのUDPパケットを通す必要がある。着信パケット(INPUT)に以下の設定を行う。

実行するアクション：許可
宛先アドレスまたはネットワーク：等しい：192.168.100.100
ネットワークプロトコル：等しい：UDP
宛先のTCPまたはUDPポート：等しい：1194

下のOpenVPNクライアント側設定（２）client.ovpn設定、接続確認 - 別館子子子子子子（ねこのここねこ）では、誤ってTCPのみを通していたために、エラーが出た。

この後に「設定を適用する」ボタンを押し適用させる。
状況を確認する。

degas@debian:~$ sudo iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     0    --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     0    --  tun+   any     anywhere             anywhere            
    0     0 ACCEPT     udp  --  any    any     anywhere             192.168.100.100     udp dpt:openvpn 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
    0     0 ACCEPT     icmp --  any    any     192.168.100.0/24     192.168.100.100     icmp echo-request 
    0     0 ACCEPT     icmp --  any    any     192.168.100.0/24     192.168.100.100     icmp echo-reply 
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW 
    0     0 ACCEPT     tcp  --  any    any     192.168.100.0/24     192.168.100.100     state NEW,RELATED,ESTABLISHED tcp dpt:ssh 
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.100.100     tcp dpt:smtp state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     192.168.100.0/24     192.168.100.100     tcp dpt:www state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     eM60-254-192-0.emobile.ad.jp/18  192.168.100.100     tcp dpt:www state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     192.168.100.0/24     192.168.100.100     tcp dpt:pop3 state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     192.168.100.0/24     192.168.100.100     tcp dpt:submission state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  any    any     192.168.100.0/24     192.168.100.100     tcp dpt:webmin state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     udp  --  any    any     anywhere             192.168.100.255     udp 
    0     0 ACCEPT     udp  --  any    any     anywhere             255.255.255.255     udp 
    0     0 LOGGING    0    --  any    any     anywhere             anywhere            

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     0    --  tun+   any     anywhere             anywhere            
    0     0 ACCEPT     0    --  any    tun+    anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 131 packets, 69312 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain LOGGING (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        0    --  any    any     anywhere             anywhere            limit: avg 3/hour burst 5 LOG level warning prefix `DROP:' 
    0     0 DROP       0    --  any    any     anywhere             anywhere