Как скрыть сервер от локальной сети, но при этом организовать доступ для отдельных пользователей этой сети и извне?

Николай

Guest

Это нравится:0 Да/0 Нет

27.05.2011 08:55:16

Есть web сервер. Есть локальная сеть 192.168.1.0/24. Юзеры получают доступ в интернет через vpn (авторизация прямо на прокси). Необходимо "отроутить" web сервер так, чтобы можно было предоставить избранным пользователям доступ из локалки или из виртуальной сети и пользователям снаружи (vpn). Естественно что из локальной или существующей виртуальной сетей его не должно быть видно. Приватность этого внутреннего web-сервера должна быть максимально защищена. Поделитесь идеями, господа.

[mad]Mega

Guest

Это нравится:0 Да/0 Нет

27.05.2011 10:56:27

как различаете вы внутренних пользователей, кому можно, а кому нельзя - тут вроде понятно, по Ip-адрессу
а как вы собираетесь различать пользователей снаружи(vpn)?
для первого случая всё просто решается любым файрволом, а второй пока не понимаю...

Николай

Guest

Это нравится:0 Да/0 Нет

30.05.2011 06:45:35

Цитата
[mad]Mega пишет: а как вы собираетесь различать пользователей снаружи(vpn)? для первого случая всё просто решается любым файрволом, а второй пока не понимаю...

снаружи тоже всё просто. Доступ будут иметь только те, кому будет выдана пара логин пароль для vpn соединения.
Вот и вопрос, как это в фаерволе разрулить?

SOLDIER

Guest

Это нравится:0 Да/0 Нет

30.05.2011 08:55:09

Цитата
Николай пишет: Вот и вопрос, как это в фаерволе разрулить?

Показываю на примере iptables (последовательность ввода команд).

iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -s IP_кореша_Васи -p tcp -dport 80 -j ACCEPT
iptables -I INPUT -s IP_кореша_Пети -p tcp -dport 80 -j ACCEPT
Если использовать добавления -A - то наоборот, истэсвинна. Кроме того, доступ можно разграничивать при помощи средств самого Вэб-сервера (при этом он, разумеется, будет виден в сети и писать о запрете доступа). Например, при использовании Апача - связкой Allow + Deny, использованием авторизации по логину/паролю (файл .htpasswd).

RU_LIDS

Guest

Это нравится:0 Да/0 Нет

30.05.2011 10:57:53

Николай
Лучше всего вынеси сервер в DMZ. Таким образом, доступ к серверу будет идти только через маршрутизатор, на котором стоит файервол и пускает только то, что можно, а прямой доступ из ЛАН и ИНЕТ отсутствует. Правила iptables SOLDIER указал, только добавишь проверку по интерфейсам (опции '-i' и '-o')

RU_LIDS

Guest

Это нравится:0 Да/0 Нет

30.05.2011 11:01:10

Цитата
SOLDIER пишет: Если использовать добавления -A - то наоборот, истэсвинна.

Шалун! У меня аж дыхание сперло! '-I' я, понятно, сразу-то и не заметил )

Николай

Guest

Это нравится:0 Да/0 Нет

03.06.2011 06:25:27

Спасибо за подсказку. Не совсем разобрался, но суть уловил. На данный момент реализовал так. Вынес веб-сервер в совершенно другую сетку типа 192.168.165.0/24. На прокси сервере поднял виртуальный интерфейс из этой же сетки. В /etc/hosts прокси вписал ip веб сервера и домен. В squidGuard разрулил кому можно ходить на этот адрес, а кому нет.

вот! сам в шоке! но пока это наиболее реализуемый вариант.

RU_LIDS Guest	#8 Это нравится:0 Да/0 Нет 03.06.2011 10:20:25 2 Николай Не советую так делать! Пользователю ЛАН ничего не стоит поднять у себя адрес из этой сети и "общаться" с вебсервером напрямую, минуя прокси. Лучше непожмотись и воткни в прокси (или что там у тебя маршрутизатор) еще одну сетевую карту и подключи вебсервер кросоверным кабелем напрямую. Либо заведи vlan на коммутаторе, если он у тебя это умеет.

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?