Openvpn конфігурує iptables, щоб дозволяти лише порт 80/443 та запускати всі інші

Я використовую Openvpn, щоб пускати людей в Інтернет. Все працює нормально, але я хочу обмежити трафік torrent / P2p. Замість того, щоб намагатися заблокувати це, намагаючись ідентифікувати їх усі окремо, я хочу дозволити лише http та https, а решту або заперечити. Конфігурація iptables, яку у мене зараз є:

    # Generated by iptables-save v1.4.21 on Mon Dec 26 16:45:34 2016
*mangle
:PREROUTING ACCEPT [1412:290307]
:INPUT ACCEPT [668:148793]
:FORWARD ACCEPT [744:141514]
:OUTPUT ACCEPT [528:166065]
:POSTROUTING ACCEPT [1182:293750]
COMMIT
# Completed on Mon Dec 26 16:45:34 2016
# Generated by iptables-save v1.4.21 on Mon Dec 26 16:45:34 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [343:139236]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 1195 -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Dec 26 16:45:34 2016
# Generated by iptables-save v1.4.21 on Mon Dec 26 16:45:34 2016
*nat
:PREROUTING ACCEPT [55:4133]
:INPUT ACCEPT [12:1368]
:OUTPUT ACCEPT [1:76]
:POSTROUTING ACCEPT [1:76]
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 145.131.3.243
-A POSTROUTING -s 10.8.1.0/24 -j SNAT --to-source 145.131.17.88
COMMIT
# Completed on Mon Dec 26 16:45:34 2016

Я читав лише про можливість дозволу лише http та https, але не міг знайти спосіб реально реалізувати це таким чином. Я думаю, що я повинен додати правила до ланцюга FORWARD, який тепер говорить, що ви можете робити все, що завгодно, через інтерфейс tun. Оскільки Політика за замовчуванням ланцюга FORWARD встановлена ​​на DROP все, крім трафіку, який має правила, що дозволяють це явно Я правий щодо ланцюжка, де я повинен розміщувати правила?

Випробував це, і він працює, коли ви помістите їх у передній ланцюг. Тестував його над openvpn і ставив (для тестування!) Це правило у верхній частині ланцюга. Усі інші мережі можуть проходити, і лише трафік, що надходить з мережі 10.8.1.0/24, не отримує більше 443:

-A FORWARD -s 10.8.1.0/24 -p tcp --dport 443 -j DROP
-A FORWARD -i tun+ -j ACCEPT

Тож я мав рацію і тепер можу розробити це далі.

Дякую, що подумали зі мною. ;)