[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

как дать доступ к почте и bind только openvpn клиентам ?



Или "как распознать клиента openvpn на машине-сервере openvpn".

Вопрос проще объяснить на примере:

Конфигурация:

тестовый сервер с 2-мя ip - 1 для сервера и 1 для openvpn клиента

iptables на сервере передает второй ip openvpn клиенту:
-A POSTROUTING -s 192.168.33.8 -j SNAT --to-source real_ip_2

-A PREROUTING -d real_ip_2 -j DNAT --to-destination 192.168.33.8


клиент дозванивается получает внешний ip, все ок.
если с клиента зайти на любой другой сервер - видно что логин был с real_ip_2 , тоже ок.


"Проблема":

если зайти по ssh на "сервер с сервером openvpn" c "клиента с клиентом openvpn" (который всем виден как real_ip_2), то в этом случае клиент виден по своему "физическому ip" (потому что real_ip_2 передается в POSTROUTING)

А это значит, что, например, bind работает только если прописать allow-query { any; };

Вопрос:
Как правильно поступить в данной ситуации, при условии что openvpn, bind, postfix остаются на единой машине, а доступ к ним надо разрешить только клиентам vpn ?


--
Sincerely,
	Nicholas


Reply to: