服务器后端资源的访问控制

服务器后端资源的访问控制

我想将 VPN 用户访问限制在单个 LAN。我一直在尝试理解client-config-dirserver.conf 中的操作,但无法让它工作。


+---------+             +---------+
| client1 |             | client2 |
+---------+             +---------+
           \           /
            +---------+
            | server  | 10.10.1.23
            +---------+
                 |
            +---------+
            |   vpc   | 10.10.0.0/16
            +---------+
                 |
            +---------+
            |  local  | 10.10.0.112
            +---------+
+-------------------------------+
| VPC  |     subnet   | region  |
+------+------------+-----------+
| vpc0 | 10.10.0.0/16 | region0 |
+------+-------------+----------+

使用我当前的 openvpn 设置,我可以连接到 VPC 后面的所有实例。但是我需要客户端 1 只能访问计算机 10.10.0.112,而客户端 2 只能访问计算机 10.10.0.222。我一直在研究指令ccd和 iptables,但无法理解。

我的Openvpnserver.conf

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 10.10.0.2"
push "redirect-gateway def1 bypass-dhcp"
dh none
client-config-dir /etc/openvpn/ccd
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_4nP1zpKP5eaV6jEz.crt
key server_4nP1zpKP5eaV6jEz.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
log-append /home/ubuntu/openvpn.log
status /var/log/openvpn/status.log
verb 3

客户端1.ovpn

client
proto udp
remote **.**.***.*** 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_4nP1zpKP5eaV6jEz name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3

路由表服务器 netstat -nr

0.0.0.0         10.10.1.1       0.0.0.0         UG        0 0          0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
10.10.1.0       0.0.0.0         255.255.255.0   U         0 0          0 eth0

IP路由ip route

default via 10.10.1.1 dev eth0 
10.8.0.0/24 dev tun0  proto kernel  scope link  src 10.8.0.1 
10.10.1.0/24 dev eth0  proto kernel  scope link  src 10.10.1.140 

CCD 适用于客户

需要客户端配置目录方面的帮助,只希望客户端 1 能够访问 10.10.0.112,现在可以访问 VPN 服务器后面的所有 LAN 机器。

客户端 IPTABLE

iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.10.0.112 -j ACCEPT

如果有人能给我指明正确的方向,我将不胜感激。

答案1

您应该为客户端分配固定 IP。例如ccd/client1可能包含:

ifconfig-push 10.8.0.112 255.255.255.0
push "route 10.10.0.112"

这样,客户端就会收到一个固定地址 ( 10.8.0.112) 和一条仅用于主机的路由10.10.0.112。客户端当然可以覆盖服务器发送的配置并添加一些自己的配置,例如:

pull-ignore "ifconfig"
# this will fail
ifconfig 10.8.0.222 255.255.255.0
# this will work
route 10.10.0.0 255.255.0.0

服务器将丢弃所有来自 的数据包client1,这些数据包没有 的地址,10.8.0.112因此该ifconfig指令将不起作用,但这不是安全功能,而是技术限制。route另一方面,该指令将按要求工作。

因此您需要在 VPN 服务器上添加防火墙规则:

# Access to DNS server
iptables -A FORWARD -p udp --dport 53 -s 10.8.0.0/24 -d 10.10.0.2 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -s 10.8.0.0/24 -d 10.10.0.2 -j ACCEPT
# Access for client1
iptables -A FORWARD -s 10.8.0.112 -d 10.10.0.112 -j ACCEPT
# Drop everything else
iptables -A FORWARD -s 10.8.0.0/24 -d 10.10.0.0/16 -j DROP

相关内容