Добрый день!
Есть сервачок с VyOS, на котором поднят и отлично работает L2TP/IPsec. Но есть одна проблема: Необходимо фильтровать трафик между клиентами, чтобы они не могли друг до друга достучаться. При подключении нового клиента поднимается новый интерфейс l2tp[n]. После того как интерфейс поднят отрабатывает скрипт в /etc/ppp/ip-up.d/, который добавляет этот интерфейс в зону фаервола, чтобы можно было фильтровать трафик между зонами. Однако, совершенно не понятно как сделать фильтрацию между клиентами l2tp(т.е. внутри зоны). Правила фаервола через cli VyOS можно настраивать либо на интерфейс, либо на зону. К сожалению, запретить трафик в зону L2TP из той же самой зоны L2TP невозможно - VyOS не дает это сделать. Повесить правило фаервола типа «если трафик от l2tp* не на eth0 -j DROP» тоже невозможно через cli, потому что нет подраздела «set interface l2tp».
Как же сделать фильтр трафика между l2tp-клиентами?
Вариант «iptables -I FORWARD 1 -i $PPP_IFACE -o ! eth0 -j DROP» видится единственным, но хотелось бы всё-таки использовать CLI VyOS, а не такого рода костыли. Мало ли к каким проблемам с конфигурацией это приведет в будущем.
