我想在我的 LAN 之间建立 VPN:
- Windows 7 旗舰版桌面工作站
- OpenSuse 9.3 服务器
以及我的同地网络服务器:
- Windows 2008 R2 Web Edition 服务器(仅带一个 NIC!)
但是,我不想将我的 LAN 资源暴露给来自 Web 服务器的威胁。我确实意识到必须允许 IP 数据包通过 VPN 双向传输,但 Web 服务器不应该能够访问我的 LAN 上的任何开放端口。换句话说,它不应该能够看到我的 LAN 的共享文件、我的 LAN 的 Web 服务器等...
您将如何创建这样的设置?
谢谢,
阿德里安
编辑:我确实已经了解关于这个问题的基本概念,我正在寻找某种教程(或几个一起工作的教程)。
答案1
从 Web 服务器中删除新的/不相关的流量。如果您没有其他方法可以做到这一点,您可以通过 Suse 主机路由所有 LAN 流量来实现,即将 Suse 主机变成网关。然后在 Suse 机器上使用 iptables 允许相关和已建立的流量,但从 Web 服务器中删除新的连接。
即删除在 Web 服务器发起的连接,但允许来自 Web 服务器的与从 Suse 网关建立的连接相关的数据包。
答案2
使用客户端创建 VPN 隧道效果不太好,但可能取决于您使用的软件。正常的操作方法是使用两个网络上的路由器/防火墙创建站点到站点 VPN,在两个独立的网络(例如您的 LAN 和服务器所在的 LAN)之间建立 VPN。
然后,您会将防火墙将入站请求连接到您的 LAN,并可选择将出站请求通过 OpenSUSE LAN 上的隧道传输。
这将允许流量从您发起连接的服务器返回到您的 LAN,但阻止服务器发起到您的 LAN 的连接。
答案3
在所有 LAN 计算机上放置防火墙,或者在 Web 服务器和 LAN 之间放置“防火墙路由器”。
我认为您不需要 VPN,只需设置防火墙以允许或不允许每种类型的连接。