我需要设置一个受限的外部访问networking上的文件共享。
事情是,有一些合理的文件,当有人从(最终的)VPN连接时,需要被隐藏。
build立:
Mac OS X服务器10.5,最新的Open Directory + Samba + Kerberos各种Windows和Mac OS客户端,据我所知,不超过XP或10.5。
我的想法从一开始就设置VPN,以便从另一个子网分配IP地址,使用防火墙将子网路由到一起,并使用Samba的规则阻止对某些文件夹的传入访问,然后让系统应用相关的ACL为其余的文件夹。
是否有可能使用法新社共享点来做这样的事情,并且将潜在的VPN,开放式目录等所有的优点结合在一起,以防止外部访问? 如果是这样,怎么样?
我们正是这样做的。 VPN客户端放在与AFP服务器不同的子网上。 他们必须通过一个能够阻塞端口548的路由器。我们更进一步,根据预共享密钥在VPN用户上定义两个类。 然后,我们可以根据VPN用户的类别来定义不同的规则。
不过你并不需要在路由器上阻止它。 您也可以在Mac OS X Server中启用防火墙并将其阻止。
如果你只阻塞端口548,那么Samba / CIFS将继续工作。
如果您的VPN客户端与LAN客户端位于不同的子网上,则应该能够使用内置的服务器防火墙来限制AFP(端口548)访问LAN子网。