概括
是否可以过滤可以通过 VPN 的流量,由出站(源)网络的系统管理员控制,而不是入站(目标)网络的系统管理员?
细节
我目前在客户现场工作。他们是一家大公司,有严格的互联网/内联网政策。要访问我自己的计算机/开发服务器,我需要通过 VPN 连接到我自己的工作网络,然后相应地访问服务器。这没什么难的。
但是,在这个客户端,他们对可以打开哪些端口(出站)有非常严格的限制。VPN 不是其中之一。因此,经过几次讨论,他们似乎会开放 VPN,前提是他们可以控制允许通过 VPN 隧道的端口。
现在,我知道我可以在我们自己的 VPN 上进行端口阻止,但要从我们自己这边进行设置。我所在的客户不喜欢这样……因为即使我们今天可能通过测试……他们说明天我们可以突然放松/更改端口过滤器,现在就破坏他们的安全策略。
那么,我工作的客户端是否可以配置他们的网络,以便当我请求与我的静态 VPN 服务器 IP 建立 VPN 连接时,他们允许该连接并且只允许打开某些端口。
我认为这是行不通的,因为所有端口流量都通过单个 VPN 连接进行隧道传输......该连接是加密的......所以我正在工作的客户端无法查询我尝试通过的流量?
我希望我错了:)
这里有人可以帮忙吗?
答案1
您没有提到您使用什么 VPN 技术或什么启动 VPN 连接。我假设您是从桌面系统启动 VPN?
我的建议是,您在桌面上添加第二个网络,然后设置宽带路由器来创建到您个人网络的 VPN,而不是从桌面启动 VPN。然后,您可以将启动 VPN 的设备控制权交给他们。他们可以调整 VPN 访问设备的防火墙策略以符合他们需要的任何规则。
这将允许他们进行他们想要的控制,但如果不能信任他们不允许任何其他人连接到创建 VPN 的设备,这在一定程度上会损害你的网络。
答案2
我希望我错了:)
希望您说得对!我不希望任何人篡改我的私人 VPN 流量。
无论如何,由于您可以控制 VPN 服务器,因此您可以让它监听您想要的任何端口,甚至是端口 80。我怀疑他们会阻止这一点。(但是他们可以进行应用程序级筛选并发现它不是 HTTP 流量。)
答案3
首先,您可以要求他们打开 ssh 并为您想要的端口创建隧道。
其次,您建议如何设置 VPN?如果他们在防火墙上创建 VPN,他们可以将感兴趣的流量限制为他们想要的任何流量。他们还可以在此 VPN 上设置 ACL。
另外,如果你在本地网络上工作,他们怎么会不让你访问你的开发环境呢?这听起来适得其反
J