OpenVPN:仅允许本地连接访问(通过 OpenVPN)

OpenVPN:仅允许本地连接访问(通过 OpenVPN)

我最近被分配了一项任务,要建立一个安全的开发环境。我正在考虑做以下事情:

  1. 使用 OpenVPN 连接到服务器。
  2. 使用防火墙规则阻止本地网络之外的所有传入连接
  3. 服务将包括 SHH、HTTP/HTTPS 和 git

这可能吗?

更新:我想更合适的问题是如何阻止本地网络之外的访问。

答案1

使用 UFW 应该相当容易。

假设你的范围是 192.168.1.x,那么它将是这样的

sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw allow from 192.168.1.0/24 to any port 80
sudo ufw allow from 192.168.1.0/24 to any port 443

如果你想限制对特定 IP 地址的访问,那么可以这样写

sudo ufw allow form xxx.xxx.x.x to any port 22

基本上只是检查一下UFW - 社区帮助 Wiki并复习 UFW。

此外,如果你想限制对 VPN 的访问,端口通常

 1701/tcp, 4500/udp, and 500/udp

但你可能需要查一下以确保

答案2

您无法明确限制“所有非来自 OpenVPN 的传入连接”...您可以通过端口号进行限制,这通常与应用程序密切相关 - 但本地机器无法绝对确定连接的来源。也就是说,由于这些东西都在被认为是相对安全的协议下运行,只要您遵循其他最佳实践,如良好的密码等,那么这是一个很好的开始。

相关内容