我在一家小公司工作,直到最近还有一家托pipe公司托pipe的公共IP专用服务器。 为了pipe理我们所有的内部网站,我们使用SSH隧道和Apache网站,只为本地主机提供服务。
最近,由于我们正在扩大隧道的数量,我们已经开始有点疯狂,我们正在寻找另一个解决scheme。 我们希望有人访问一个服务器,并通过安全连接访问其他服务器(在公共IP上)。 所有服务器运行Ubuntu或Debian。
我们应该看什么样的解决scheme? 我们可以设置一个VPN来改善这个设置吗?
在这种情况下,你可能会比使用OpenVPN更糟糕; 安装起来非常简单(提供您可以围绕创build一个SSL证书颁发机构,但是有很多好的书写),并且支持很多客户端 – 包括多个平台和多个实现。
您将需要修改所有这些内部网站来监听内部networking接口,而不仅仅是本地主机。
您可以简单地使用TCP包装,并允许“中央”服务器通过将其IP添加到/etc/hosts.allow来对所有其他服务器进行SSH访问。
这在安全性方面并不是那么理想,只有一个盒子可以login到任何地方,但是如果你认为这是一个“堡垒”主机,并妥善保护它,这不是世界末日。
如果您只想访问网站,则可能更适合在Apache级别访问。 这就是SSL / TLS的用途。 即使通过SSL进行基本身份validation也是非常安全的(使用强密码)。 而Apache可以调整来检查客户端证书。