Re: как дать доступ к почте и bind только openvpn клиентам ?
On 13.05.2011 05:20, Mikhail A Antonov wrote:
13.05.2011 05:08, Nicholas пишет:
On 13.05.2011 04:37, Mikhail A Antonov wrote:
allow-query { ::1; 127.0.0.1;<сетка реальных IP>;<сетка серых IP>; }
Реальные ip - разные, теже точки wifi в городе.
Я про realip_2.
Конечно же я пробовал прописывать все свои ip в allow-query (внешние,
серые 192.168...) с самого начала. К сожалению не заработало.
Тогда я сделал allow-query {any;}; и стал смотреть tcpdump-ом, оказалось
что на сервере обращения к bind видны как от локального wifi провайдера
(внешний ip роутера).
Насколько я понимаю, вариантов ответа на мой вопрос может быть три:
1. Надо обязательно разнести openvpn server и остальные сервисы на
разные машины.
2. Можно рассказать openvpn клиенту, что через wlan можно идти только по
порту для vpn, в всем остальным через wlnan. (Возможно ли такое в
принципе ?)
-A PREROUTING -d real_ip_1 -j ACCEPT (сервер)
-A PREROUTING -d real_ip_2 -j ACCEPT (получаемый клиентом)
-A POSTROUTING -s real_ip_1 -j ACCEPT
-A POSTROUTING -s real_ip_2 -j ACCEPT
-A Firewall_vpn -i lo -j ACCEPT
-A Firewall_vpn -m state --state RELATED,ESTABLISHED -j ACCEPT
-A Firewall_vpn -d real_ip_1 -j Firewall
-A Firewall_vpn -s real_ip_1 -j Firewall
-A Firewall_vpn --out-interface tap5 -j Firewall (разрешаем только vpn)
-A Firewall_vpn --in-interface tap5 -j Firewall
-A Firewall_vpn -j REJECT
То есть, клиент может работать или через vpn или с сервером...
А вот как сделать так, что бы он работал одновременно и "через vpn и с
сервером" непонятно. Может быть надо завернуть все кроме порта vpn на tap...
3. Что-то можно сделать на сервере (передавать внешний ip клиенту раньше
чем в postroute, сделать доп сеть, перевести сервисы на третий ip, etc).
Возможно это типовая задача, у которой есть рекомендуемое решение ?
--
Sincerely,
Nicholas
Reply to: