防止 AFP 通過 VPN 連接共享訪問？

我需要設置對網路上文件共享的受限外部訪問。

問題是，當有人從（最終）VPN 連接時，需要隱藏一些合理的文件。

設置：

Mac OS X 伺服器 10.5，最新的 Open Directory + Samba + Kerberos 各種 windows 和 mac os 客戶端，據我所知，不早於 XP 或 10.5。

從一開始，我的想法就是設置 VPN，以便它從另一個子網分配 IP 地址，使用防火牆將子網路由在一起，並使用 Samba 的規則阻止對某些文件夾的傳入訪問，並讓系統應用相關的 ACL其余文件夾。

是否有可能使用 AFP 共享點來做這樣的事情，並將潛在的 VPN、Open Directory 等所有優點結合在一起，以防止來自外部的訪問？如果是這樣，怎麼做？

我們正是這樣做的。VPN 客戶端位於與 AFP 伺服器不同的子網中。他們必須通過一個能夠阻止埠 548 的路由器。我們更進一步，基於預共享密鑰在 VPN 使用者上定義了兩個類。然後，我們可以根據 VPN 使用者的類別定義不同的規則。

不過，您實際上並不需要在路由器上阻止它。您還可以在 Mac OS X Server 中啟用防火牆並將其阻止在那裡。

如果您只阻塞埠 548，那麼 Samba/CIFS 將繼續工作。

引用自：https://serverfault.com/questions/96739