История изменений

Исправление anc, 15.03.17 12:32 (текущая версия) :

Не знаю что у вас висит на 1с на порту 3396, но предположим все тот же rdp. Тогда возникает проблема, пользователь соединяется к 10.10.2.202 и уже с него может получить доступ к любому адресу согласно первому правилу "-A FORWARD -s 10.10.2.202/32 -i tun0 -j ACCEPT" Если с него не надо исходящих соединений в тунель, то тут также ESTABLISHED,RELATED
В остальном все правильно, но лично я упростил бы, что-то типа -i tun0 ESTABLISHED,RELATED т.е. оно будет по любому работать для всех, потом ACCEPT для разрешенных, ну и последним все правильно DROP

Исходная версия anc, 15.03.17 12:29:

Не знаю что у вас висит на 1с на порту 3396, но предположит все тот же rdp. Тогда возникает проблема, пользователь соединяется к 10.10.2.202 и уже с него может получить доступ к любому адресу согласно первому правилу "-A FORWARD -s 10.10.2.202/32 -i tun0 -j ACCEPT" Если с него не надо исходящих соединений в тунель, то тут также ESTABLISHED,RELATED
В остальном все правильно, но лично я упростил бы, что-то типа -i tun0 ESTABLISHED,RELATED т.е. оно будет по любому работать для всех, потом ACCEPT для разрешенных, ну и последним все правильно DROP