Vpn

如何阻止對 OpenVPN 伺服器服務的訪問?

  • May 22, 2014

首先,我是 VPN 的菜鳥。我只是按照教程安裝了 OpenVPN。客戶可以互相看到,一切似乎都順利進行。

但是,有問題的網路僅供客戶端到客戶端使用,我非常想限制對伺服器自己的網路和服務(www、mysql、smb 等)的訪問。換句話說,VPN 客戶端應該只能通過 VPN 相互訪問。

我什至不完全確定這是否完全可能,但我認為必須有比配置每個服務阻止某個 IP 範圍更好的方法..?

我正在使用幾乎預設的網路和 OpenVPN 配置執行 Debian Wheezy。

嗯,就在我的腦海中……並且沒有閱讀OpenVPN手冊……

我會將所有使用者放入他們自己的子網中。如果您的伺服器是 192.168.0.1,那麼您可能會將您的使用者放入他們自己的子網(即 192.168.1.1-244)。

然後,您可以確保所有服務/守護程序都綁定到特定地址,而不是 * 或 0.0.0.0。了解您的服務綁定到哪些介面通常是個好主意

只要 OpenVPN 不向客戶端推送路由以穿越這些子網,它們就應該無法連接到您的後端服務(據我所知)

此外,IPTables 肯定是您的第二道防線——

您可以在 INPUT 鏈的頂部放置一條規則,刪除來自 10.8.0.* 的所有連接,以及他們需要訪問的任何服務(即 squid),您可以只使用 IPTables“重定向”方法

希望這會有所幫助

引用自:https://serverfault.com/questions/597410