Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Chciałbym ograniczyć dostęp do serwera Glassfish, konkretnie do portów 8080 i 4848 tak aby był możliwy tylko po połączeniu z siecią VPN. Chcę utworzyć sobie przestrzeń chronioną, w której rozdawałbym certyfikaty OpenVPN odpowiednim użytkownikom i tylko ci uprawnieni użytkownicy mieliby dostęp do zasobów chronionych, które normalnie nie powinny być widoczne dla całej reszty nieuprawnionych osób ze względu na zbyt wrażliwe dane dotyczące np. debugowania, logów czy dzienników zdarzeń. Chcę to zrealizować przy użyciu OpenVPN i shorewalla.
Chcę aby to odbywało się według następującego schematu:
ZNAJOMY INFORMATYK z certyfikatem OpenVPN -> POŁĄCZENIE VPN NAWIĄZANIE -> SHOREWALL AKCEPTUJE ŻĄDANIE DO PORTU 8080 -> ZNAJOMY INFORMATYK UZYSKUJE DOSTĘP DO DANYCH NA PORCIE 8080
Grażyna bez certyfikatu OpenVPN -> KORZYSTA ZE ZWYKŁEGO POŁĄCZENIA -> SHOREWALL ODRZUCA ŻĄDANIE DO PORTU 8080 -> POŁĄCZENIE NIE ZOSTAJE NAWIĄZANE
Podpowie mi ktoś jak takie coś zrobić?
Offline
Mam na myśli "dostęp mają tylko ci, którzy "są" w sieci VPN a ci, którzy nie są w tej sieci dostępu nie mają".
Offline
Dropuj każdy ruch na porcie 8080 i tym drugim
Zezwól na ruch na porcie 8080 i tym drugim dla interfejsu tun/tap.
Nie jestem biegły w iptables (a w nakładkach typu shorewall to już w ogóle xD), więc nie podam Ci gotowej formułki do wklepania, ale tak to idzie zrobić firewallem.
Druga możliwość- nie wiem co tam Ci siedzi na tym 8080, ale może po prostu w konfigu tego czegoś zmień adres nasłuchu?
Załóżmy że chodzi o ssh
Masz teraz tak:
Listen 0.0.0.0 Port 8080
Przy założeniu że eth0 = 172.16.0.0/16 tun0 = 10.8.0.0/24 ustaw tak
Listen 10.8.0.0 Port 8080
.
Ja tak na przykład mam skonfigurowany serwer dhcp, dns, ssh i jeszcze kilka: wszystko nasłuchuje na interfejscie ovpnowyn :)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00091 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.122.125' WHERE u.id=1 |
0.00072 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.122.125', 1730431649) |
0.00049 | SELECT * FROM punbb_online WHERE logged<1730431349 |
0.00072 | SELECT topic_id FROM punbb_posts WHERE id=310696 |
0.00119 | SELECT id FROM punbb_posts WHERE topic_id=29575 ORDER BY posted |
0.00092 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29575 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00103 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29575 ORDER BY p.id LIMIT 0,25 |
0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29575 |
Total query time: 0.00697 s |