Ограничить пользователя OpenVPN конкретным портом на определенных серверах

Question 1

Вариант использования является довольно сложным. Мне нужно сопоставить пользователей openvpn с конкретным портом на моих машинах. Скажите, что пользователь из команды разработчиков должен иметь доступ только к порту 80 моего сервера, чей ip 172.31.192.8, но не к порту 22.

Question 2

Только с помощью правила брандмауэра

iptables --append INPUT --match <YourProtocol> --protocol <YourProtocl> --src <Source network/IP> -i <input Interface> --dport 80 --jump ACCEPT

<YourProtocol> есть TCP или UDP или ICMP или что вам нужно (в случае http на порту 80 TCP), как <Source network/IP> после --src указать IP или сети, которые получают ваши клиенты. (С openVPN его обычно что-то вроде 10.0.8.2, если вы его не изменили.) [F5] - это сетевой интерфейс, по которому поступает входящий трафик. (Для OpenVPN это обычно что-то вроде tun0) И, наконец, предоставить порт, который вы хотите разрешить, после --dport. (в вашем случае 80) (Подсказка, если вы хотите предоставить доступ к нескольким портам, не устанавливайте различные правила ... используйте вместо этого: -m multiport --dports <OnePort,AnotherPort,...>)

Для получения дополнительной информации о брандмауэре iptables см. https://wiki.ubuntuusers.de/iptables2/

Я нашел этот инструмент генератора iptables весьма удобным для простых правил: https://wiki.ubuntuusers.de/iptables2/

Question 3

Question 4

Только с помощью правила брандмауэра

iptables --append INPUT --match <YourProtocol> --protocol <YourProtocl> --src <Source network/IP> -i <input Interface> --dport 80 --jump ACCEPT

<YourProtocol> есть TCP или UDP или ICMP или что вам нужно (в случае http на порту 80 TCP), как <Source network/IP> после --src указать IP или сети, которые получают ваши клиенты. (С openVPN его обычно что-то вроде 10.0.8.2, если вы его не изменили.) [F5] - это сетевой интерфейс, по которому поступает входящий трафик. (Для OpenVPN это обычно что-то вроде tun0) И, наконец, предоставить порт, который вы хотите разрешить, после --dport. (в вашем случае 80) (Подсказка, если вы хотите предоставить доступ к нескольким портам, не устанавливайте различные правила ... используйте вместо этого: -m multiport --dports <OnePort,AnotherPort,...>)

Для получения дополнительной информации о брандмауэре iptables см. https://wiki.ubuntuusers.de/iptables2/

Я нашел этот инструмент генератора iptables весьма удобным для простых правил: https://wiki.ubuntuusers.de/iptables2/

derHugo · Answer 1 · 18 July 2018 в 12:01

Только с помощью правила брандмауэра

iptables --append INPUT --match <YourProtocol> --protocol <YourProtocl> --src <Source network/IP> -i <input Interface> --dport 80 --jump ACCEPT

<YourProtocol> есть TCP или UDP или ICMP или что вам нужно (в случае http на порту 80 TCP), как <Source network/IP> после --src указать IP или сети, которые получают ваши клиенты. (С openVPN его обычно что-то вроде 10.0.8.2, если вы его не изменили.) [F5] - это сетевой интерфейс, по которому поступает входящий трафик. (Для OpenVPN это обычно что-то вроде tun0) И, наконец, предоставить порт, который вы хотите разрешить, после --dport. (в вашем случае 80) (Подсказка, если вы хотите предоставить доступ к нескольким портам, не устанавливайте различные правила ... используйте вместо этого: -m multiport --dports <OnePort,AnotherPort,...>)

Для получения дополнительной информации о брандмауэре iptables см. https://wiki.ubuntuusers.de/iptables2/

Я нашел этот инструмент генератора iptables весьма удобным для простых правил: https://wiki.ubuntuusers.de/iptables2/

derHugo · Answer 2 · 24 July 2018 в 19:54

Только с помощью правила брандмауэра

iptables --append INPUT --match <YourProtocol> --protocol <YourProtocl> --src <Source network/IP> -i <input Interface> --dport 80 --jump ACCEPT

<YourProtocol> есть TCP или UDP или ICMP или что вам нужно (в случае http на порту 80 TCP), как <Source network/IP> после --src указать IP или сети, которые получают ваши клиенты. (С openVPN его обычно что-то вроде 10.0.8.2, если вы его не изменили.) [F5] - это сетевой интерфейс, по которому поступает входящий трафик. (Для OpenVPN это обычно что-то вроде tun0) И, наконец, предоставить порт, который вы хотите разрешить, после --dport. (в вашем случае 80) (Подсказка, если вы хотите предоставить доступ к нескольким портам, не устанавливайте различные правила ... используйте вместо этого: -m multiport --dports <OnePort,AnotherPort,...>)

Для получения дополнительной информации о брандмауэре iptables см. https://wiki.ubuntuusers.de/iptables2/

Я нашел этот инструмент генератора iptables весьма удобным для простых правил: https://wiki.ubuntuusers.de/iptables2/

Ограничить пользователя OpenVPN конкретным портом на определенных серверах

2 ответа

Другие вопросы по тегам:

Похожие вопросы: