最近、VPNサーバーとしても機能する本番WebサーバーでIP転送を有効にしました。設定したばかりのセキュリティ質問(ある場合)は何ですか? VPNトンネルへの転送を制限するには、iptablesルールを設定する必要がありますか?
答え1
サーバーが破損している場合にのみセキュリティの問題が発生します。あなたのサーバーに入る人/ものは、まるでサーバーのようにネットワーク上のコンピュータにアクセスできます(あなたのコンピュータはおそらくあなたのサーバーを信頼します)。君は必ずそうしたはずだった一部iptablesルール!デフォルトでは、WebサーバーポートとVPNサーバーポートを除いて、iptablesは外部の世界からファイアウォールまですべてをブロックしたいと思います。
海岸の壁のようなものをお勧めします。http://www.shorewall.net/これはあなたのために設定されていますが、何人かの人々が何が起こっているのかをもっと知ることができるので、iptablesルールを自分で作る方が良いと思います。
答え2
このサーバーのルーティング機能を最小限に抑えるには、iptables(FORWARD)を使用する必要があります。
どのVPNサーバーを実行していますか? VPNアカウントに固定アドレスがありますか?私はあなたがiptablesを呼び出す方法(どのオプション/パラメータが何をしているのか)の基本を知っているとします。
いくつかの例のルールは次のようになります。ここでは、XXXXと変数を設定に適した値に置き換える必要があります。
IPT=/usr/sbin/iptables
# deactivate FORWARD by default as you only want to grant access with a whitelist.
$IPT -P FORWARD DROP
# allow established connections
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# allow access to your VPN-server from the outside
$IPT -A INPUT -i $OUTER_INTERFACE -p XXXX --dport XXXX -j ACCEPT
# allow access to some host (-d)/protocol (-p)/destination port (--dport) from one VPN-account
$IPT -A FORWARD -i $VPN_INTERFACE -o $LAN_OR_OUTER_INTERFACE -s $IP_FROM_VPN -d $SOME_HOST -p XXXX --dport XXXX
# allow access from your LAN-network/-host to the VPN-clients
$IPT -A FORWARD -i $LAN_INTERFACE -o $VPN_INTERFACE -s $LAN_NET_OR_HOST -j ACCEPT
# allow access from the VPN to the WAN
$IPT -A FORWARD -i $VPN_INTERFACE -o $OUTER_INTERFACE -s $VPN_NET_OR_HOST -j ACCEPT