设想:托管机器(通常是 VPS),为 wiki、svn、git、论坛、电子邮件列表(例如:GNU mailman)、Bugzilla(等等)提供服务私下里至 < 20 人。团队以外的人不允许访问。寻求 VPN 限制访问所述服务器。有良好的用户有使用基于 OpenVPN 的服务器/客户端的经验,但尚未管理过此类系统。否则,有经验的 Linux 系统管理员。目标系统:Ubuntu,可能是 12.04。
寻求将 OpenVPN 进程置于上述服务器上以“保护”所有上述服务,从而仅允许 OpenVPN 授权的客户端/进程访问上述服务。(可以根据此设置的需要轻松获取其他 IP 地址。)
选项:如果绝对需要,可以使用额外的专用“VPN 服务器”VPS 作为我的 VPN 服务器“前端”。但如果可能,最好让所有服务器进程(VPN 服务器加上其他服务器应用程序)都在同一台机器上运行。如果专用 VPN 机器设置能够实现 1. 更简单的安装/管理,2. 更好/更简单的最终用户体验,和/或 3. 使系统更加安全,我会进一步考虑。
以上任何一种都可行吗?
主要目的:从纯托管资源创建 VPN,而不是花费所有精力来创建非 VPN 的安全站点——这通常意味着“SSL 包装”+所有持续的 Web 服务器应用程序更新管理。让 VPN 服务器处理访问安全性,并花费大量时间在其他应用程序/Apache 中将所述安全性“下调”。
答案1
当然可以。您可以通过以下几种方式进行操作:
将您关心的所有服务绑定到 OpenVPN 接口,以便它们仅监听 10.8.0.1。确保 OpenVPN 已在运行,否则服务将无法正确绑定到接口。
使用 iptables 仅允许来自 OpenVPN 网络的连接,例如,
iptables -A FORWARD -s 10.8.0.0/24 -j ALLOW ; iptables -A FORWARD -j DROP使用您需要首先允许 OpenVPN 流量的任何额外规则,以及一些 VPN 外的通信,例如 ssh。
您心中还有什么更具体的场景吗?