在Centos7.6通过Docker搭建OpenVPN_centos7.6防火墙

1.安装docker，此处省略

2.拉取openvpn镜像

docker pull kylemanna/openvpn:2.4

3.创建openvpn 数据一个目录

mkdir -p /data/openvpn

4.生产配置文件

docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_genconfig -u udp://服务器公网IP

5.生成密钥文件

docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 ovpn_initpki
# 输入私钥密码（输入时是看不见的）：
Enter PEM pass phrase:12345678
# 再输入一遍
Verifying - Enter PEM pass phrase:12345678
# 输入一个CA名称（我这里直接回车）
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
# 输入刚才设置的私钥密码（输入完成后会再让输入一次）
Enter pass phrase for /etc/openvpn/pki/private/ca.key:12345678

6.生成客户端证配置(your_name可修改名字)

docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 easyrsa build-client-full your_name nopass
 
# 输入上面步骤设置的密码
Enter pass phrase for /etc/openvpn/pki/private/ca.key:12345678

7.导出客户端配置

mkdir -p /data/openvpn/conf
docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_getclient your_name > /data/openvpn/conf/your_name.ovpn

8.启动openvpn服务

docker run --name openvpn -v /data/openvpn:/etc/openvpn -d -p 1194:1194/udp --cap-add=NET_ADMIN kylemanna/openvpn:2.4

9.保存防火墙规则(9和10步骤可选)

iptables-save > /etc/sysconfig/iptables

10.设置防火墙

# 关闭firewalld防火墙，关闭开机自启
systemctl stop firewalld.service
systemctl disable firewalld.service
 
#安装iptables防火墙，设置开机自启
yum -y install iptables-services net-tools
systemctl enable iptables.service
 
#编辑防火墙配置
vi /etc/sysconfig/iptables
 
#在最后COMMIT前添加以下规则
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
 
# 下面是一个完整的示例（这里只是个示例，根据自身情况对防火墙进行调整）
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [3:228]
:POSTROUTING ACCEPT [3:228]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p udp -m udp --dport 1194 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i docker0 -p udp -m udp --dport 1194 -j DNAT --to-destination 172.17.0.2:1194
COMMIT
*filter
:INPUT ACCEPT [60:4900]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [50:4784]
:DOCKER - [0:0]
:DOCKER-ISOLATION - [0:0]
-A FORWARD -j DOCKER-ISOLATION
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p udp -m udp --dport 1194 -j ACCEPT
-A DOCKER-ISOLATION -j RETURN
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

11.将登录的证书下载到本地

12.下载openvpn 客户端，windows 版本地址：http://down.whsir.com/downloads/openvpn-install-2.4.4-I601.exe

其他系统版本客户端可自行百度下载即可。

最后双击下载下来的your_name.ovpn 即可导入配置到openvpn 客户端，点击连接就可以

可以通过检测是当前出网IP还确定是否成功