Я пытаюсь настроить VPN-сервер (strognswan) и разрешить удаленным пользователям получать доступ к таким службам, как redis, nginx, mongodb и т. Д., Только через VPN - пользователи не должны иметь доступ к Интернету через VPN.
Я могу подключиться к VPN-серверу и отправить пинг (iptables это позволяет), но я не могу разделить Интернет (мой общедоступный IP-адрес) и сеть VPN (10.10.10.0/24).
Когда я открываю порт 8080, я могу получить доступ к сервису через VPN, но он также виден по общедоступному IP-адресу.
Мой вопрос: как настроить iptables, позволяя пользователям VPN получать доступ к службам на сервере, но блокировать других пользователей из Интернета?
#ipsec.conf - left
left=#myPublicIP
leftid=@mydomain.com
leftsubnet=#myPublicIP/32
leftfirewall=yes
lefthostaccess=yes
Вам нужно добавить команды, которые вы используете для настройки iptables чтобы разрешить порты, потому что я думаю, что вы упускаете некоторые важные параметры.
Например, если интерфейс VPN назван tap0, чтобы открыть порт только для VPN-клиентов, вы можете использовать эту форму команды с iptables:
# iptables -A INPUT -i tap0 -m tcp -p tcp --dport 8080 -j ACCEPT
(обратите внимание на каждый параметр, особенно -A и порядок правил, что очень важно на iptables)