首先,我是一个VPN的总noob。 我只通过教程安装了OpenVPN。 客户可以看到对方,一切似乎都在顺利进行。
然而,有问题的networking仅用于客户端到客户端的使用,我非常想限制对服务器自己的networking和服务(www,mysql,smb等)的访问。 换句话说,VPN客户端应该只能通过VPN访问彼此。
我甚至不完全确定,如果这是完全可能的,但我认为必须有一个比configuration每个服务来阻止某个IP范围更好的方法..?
我正在运行Debian Wheezy,它具有相当多的默认networking和OpenVPNconfiguration。
嗯,就在我的头顶…没有阅读OpenVPN手册…
我会把我所有的用户放到他们自己的子网中。 如果你的服务器是192.168.0.1,那么你可能会把你的用户放到他们自己的子网(即192.168.1.1-244)。
那么你可以确保所有的服务/守护进程都绑定到一个特定的地址,而不是*或0.0.0.0。 它通常是一个好主意,知道什么接口你的服务是必然的
只要OpenVPN不会推送路由到客户端横切这些子网,他们就不应该能够连接到您的后端服务(据我所知)
此外,IPTables当然可以成为你的第二道防线 –
你可以在你的INPUT链的顶部放置一条规则,从10.8.0。*以及任何他们需要访问的服务(即squid)中删除所有的连接,你可以使用IPTables的“redirect”方法
希望这有助于