OpenVPN: Предоставьте доступ только для локальных соединений (через OpenVPN)
Мне недавно присвоили задача сделать настроенный безопасная среда разработки. Я думаю о выполнении следующего:
- Используйте OpenVPN для соединения с сервером.
- Используйте правила брандмауэра заблокировать все входящие соединения вне локальной сети
- Сервисы будут включать SHH, HTTP/HTTPS и мерзавца
Действительно ли это возможно?
ОБНОВЛЕНИЕ: Я предполагаю, что более соответствующий вопрос состоит в том, как блокировать доступ вне локальной сети.
2 ответа
Вы не можете явно ограничить "все входящие соединения, не происходящие из OpenVPN"... можно ограничить номером порта, который часто сильно коррелирует к приложению - но нет никакого пути к локальной машине для знания С АБСОЛЮТНОЙ УВЕРЕННОСТЬЮ, каков источник соединения. Однако начиная с этого материала все выполнения, подо что, как предполагают, является относительно защищенными протоколами, пока Вы применяете другие лучшие методы как хорошие пароли, и т.д. тогда это - довольно хорошее начало.
Должно быть довольно легким с UFW.
Принятие Вашего диапазона является чем-то как 192.168.1.x, это было бы что-то как
sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw allow from 192.168.1.0/24 to any port 80
sudo ufw allow from 192.168.1.0/24 to any port 443
, Если бы Вы хотите ограничить доступ к точному IP-адресу, это было бы что-то как
sudo ufw allow form xxx.xxx.x.x to any port 22
В основном просто выезд UFW - Сообщество Помогает Wiki и рисует кистью встать на UFW.
кроме того, если Вы хотите ограничить доступ к VPN, порты обычно
1701/tcp, 4500/udp, and 500/udp
, но можно хотеть искать это, чтобы быть уверены