Мне нужно настроить ограниченный внешний доступ к общим файловым ресурсам в сети.
Дело в том, что есть некоторые разумные файлы, которые необходимо скрыть, когда кто-то подключается через (в конечном итоге) VPN.
Настроить:
Mac OS X server 10.5, последняя версия Open Directory + Samba + Kerberos Различные клиенты для Windows и Mac OS, не старше XP или 10.5, насколько мне сказали.
Моя идея с самого начала заключалась в том, чтобы настроить VPN таким образом, чтобы он выделял IP-адреса из другой подсети, маршрутизировал подсети вместе с помощью брандмауэра и блокировал входящий доступ к некоторым папкам с помощью правил Samba и позволял системе применять соответствующий ACL для остальных папок.
Можно ли сделать это, используя точки доступа AFP, и объединить все преимущества потенциальной VPN, Open Directory и всего остального, чтобы предотвратить доступ извне? Если да, то как?
Мы именно так и поступаем. Клиенты VPN помещаются в подсеть, которая отличается от серверов AFP. Они должны проходить через маршрутизатор, который может блокировать порт 548. Мы идем еще дальше, определяя два класса для пользователей VPN на основе заранее заданного ключа. Затем мы можем определить правила по-разному в зависимости от класса пользователя VPN.
Однако вам действительно не нужно блокировать его на маршрутизаторе. Вы также можете включить брандмауэр в Mac OS X Server и заблокировать его там.
Если вы заблокируете только порт 548, Samba / CIFS продолжит работать.
Если ваши клиенты VPN находятся в подсети, отличной от подсети ваших клиентов LAN, вы должны иметь возможность использовать встроенный брандмауэр сервера для ограничения доступа AFP (порт 548) к подсети LAN.