как дать доступ к почте и bind только openvpn клиентам ?

To: debian-russian@lists.debian.org
Subject: как дать доступ к почте и bind только openvpn клиентам ?
From: Nicholas <spam@networkgate.us>
Date: Thu, 12 May 2011 23:56:00 +0000
Message-id: <[🔎] iqia70$ihk$1@dough.gmane.org>

Или "как распознать клиента openvpn на машине-сервере openvpn".

Вопрос проще объяснить на примере:

Конфигурация:

тестовый сервер с 2-мя ip - 1 для сервера и 1 для openvpn клиента

iptables на сервере передает второй ip openvpn клиенту:

-A POSTROUTING -s 192.168.33.8 -j SNAT --to-source real_ip_2


-A PREROUTING -d real_ip_2 -j DNAT --to-destination 192.168.33.8


клиент дозванивается получает внешний ip, все ок.

если с клиента зайти на любой другой сервер - видно что логин был сreal_ip_2 , тоже ок.



"Проблема":

если зайти по ssh на "сервер с сервером openvpn" c "клиента с клиентомopenvpn" (который всем виден как real_ip_2), то в этом случае клиентвиден по своему "физическому ip" (потому что real_ip_2 передается вPOSTROUTING)

А это значит, что, например, bind работает только если прописатьallow-query { any; };


Вопрос:

Как правильно поступить в данной ситуации, при условии что openvpn,bind, postfix остаются на единой машине, а доступ к ним надо разрешитьтолько клиентам vpn ?



--
Sincerely,
	Nicholas

Reply to:

Follow-Ups:
- Re: как дать доступ к почте и bind только openvpn клиентам ?
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: как дать доступ к почте и bind только openvpn клиентам ?
  - From: Nicholas <spam@networkgate.us>

Prev by Date: Re: Perl or Python? Теория множеств!
Next by Date: Re: как дать доступ к почте и bind только openvpn клиентам ?
Previous by thread: Re: Пакет для автоматической проверки доступности узлов.
Next by thread: Re: как дать доступ к почте и bind только openvpn клиентам ?
Index(es):
- Date
- Thread