У меня сервер сидит в дата-центре. Он работает под управлением Linux. WAN-интерфейс на eth0, подключенный к общедоступному Интернету; Интерфейс LAN на eth1 подключен к сети дата-центра на 10.0.0.0.
На машине запущена группа служб на портах n, p и q; и группа сервисов на портах r, s и t.
Он защищен брандмауэром на интерфейсе WAN, поэтому ничто не открыто для общедоступного Интернета.
Я хочу, чтобы пользователи могли подключаться к машине с помощью OpenVPN (или чего-то еще, все равно, что, если он зашифрован и безопасен). После этого пользователи должны иметь возможность подключаться к службам на портах n, p и q, но НЕ к службам на портах r, s и t или сети 10.0.0.0.
Мне также нужно отслеживать потребление полосы пропускания пользователем. Было бы большим бонусом, если бы я мог ограничить количество пользователей за единицу времени (например, 1 ГБ в неделю, 10 ГБ / мес) и / или ограничить их постоянную скорость передачи (например, 100 КБ / сек); позволить им взорваться быстрее тоже было бы здорово.
Я полный новичок OpenVPN. Я даже не уверен, что это подходит для задачи, хотя кто-то это подсказал. Понятно, что использование ssh не будет отличным решением, поскольку это будет зависеть от множества ограничений в файле authorized_keys и мониторинг / ограничение пропускной способности будет затруднен.
Приветствую любые предложения.
OpenVPN не годится - он может дозвониться, а не все остальное.
По сути, вам нужна подходящая конечная точка VPN со всеми функциями. Я бы поставил для этого сервер - с Mikrotik RouterOS, вероятно, маршрутизатором Miktrotik 1xxx, они довольно дешевы и могут все это сделать.
Если вам нравится делать это вручную, получите Linux и получите сложный wwith IpTables для межсетевого экрана (ограничение портов) и МНОГО другого программного обеспечения для управления полосой пропускания.
OpenVPN предоставит вам базовую возможность подключения от клиента к хосту. Оттуда просто нужно настроить iptables или выбранный вами брандмауэр, чтобы разрешить трафик к службам и устройствам, которые вам нужны. OpenVPN использует свой собственный интерфейс TAP / TUN и отдельную сеть, поэтому вы должны иметь возможность создавать правила для блокировки трафика практически для всего, что захотите.
Вам нужно будет использовать некоторые другие инструменты, чтобы узнать потребление полосы пропускания. Может быть, кто-нибудь еще сможет присоединиться к этому.