我需要设置对网络上的文件共享的受限外部访问。
问题是,当有人从(最终的)VPN 连接时,有些合理的文件需要被隐藏。
设置:
Mac OS X 服务器 10.5、最新的 Open Directory + Samba + Kerberos 各种 Windows 和 Mac OS 客户端,据我所知不早于 XP 或 10.5。
从一开始,我的想法就是设置 VPN,以便它从另一个子网分配 IP 地址,使用防火墙将子网路由在一起,并使用 Samba 的规则阻止对某些文件夹的传入访问,并让系统对剩余文件夹应用相关的 ACL。
是否可以使用 AFP 共享点来实现这一点,并将潜在的 VPN、Open Directory 等所有优点结合起来,以防止外部访问?如果可以,怎么做?
答案1
我们确实这么做了。VPN 客户端被放在与 AFP 服务器不同的子网中。它们必须通过路由器,该路由器能够阻止端口 548。我们更进一步,根据预共享密钥为 VPN 用户定义两个类别。然后,我们可以根据 VPN 用户的类别定义不同的规则。
不过,你其实不需要在路由器上阻止它。你也可以在 Mac OS X Server 中启用防火墙并在那里阻止它。
如果您仅阻止端口 548,那么 Samba/CIFS 将继续工作。
答案2
如果您的 VPN 客户端与 LAN 客户端位于不同的子网,您应该能够使用内置的服务器防火墙来限制 AFP(端口 548)对 LAN 子网的访问。