как дать доступ к почте и bind только openvpn клиентам ?
Или "как распознать клиента openvpn на машине-сервере openvpn".
Вопрос проще объяснить на примере:
Конфигурация:
тестовый сервер с 2-мя ip - 1 для сервера и 1 для openvpn клиента
iptables на сервере передает второй ip openvpn клиенту:
-A POSTROUTING -s 192.168.33.8 -j SNAT --to-source real_ip_2
-A PREROUTING -d real_ip_2 -j DNAT --to-destination 192.168.33.8
клиент дозванивается получает внешний ip, все ок.
если с клиента зайти на любой другой сервер - видно что логин был с
real_ip_2 , тоже ок.
"Проблема":
если зайти по ssh на "сервер с сервером openvpn" c "клиента с клиентом
openvpn" (который всем виден как real_ip_2), то в этом случае клиент
виден по своему "физическому ip" (потому что real_ip_2 передается в
POSTROUTING)
А это значит, что, например, bind работает только если прописать
allow-query { any; };
Вопрос:
Как правильно поступить в данной ситуации, при условии что openvpn,
bind, postfix остаются на единой машине, а доступ к ним надо разрешить
только клиентам vpn ?
--
Sincerely,
Nicholas
Reply to: