Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2017-05-14 19:07:02
hubot - 
Użytkownik
- hubot
- Użytkownik
- Zarejestrowany: 2017-04-13
Ograniczenie dostępu do serwera Glassfish
Chciałbym ograniczyć dostęp do serwera Glassfish, konkretnie do portów 8080 i 4848 tak aby był możliwy tylko po połączeniu z siecią VPN. Chcę utworzyć sobie przestrzeń chronioną, w której rozdawałbym certyfikaty OpenVPN odpowiednim użytkownikom i tylko ci uprawnieni użytkownicy mieliby dostęp do zasobów chronionych, które normalnie nie powinny być widoczne dla całej reszty nieuprawnionych osób ze względu na zbyt wrażliwe dane dotyczące np. debugowania, logów czy dzienników zdarzeń. Chcę to zrealizować przy użyciu OpenVPN i shorewalla.
Chcę aby to odbywało się według następującego schematu:
ZNAJOMY INFORMATYK z certyfikatem OpenVPN -> POŁĄCZENIE VPN NAWIĄZANIE -> SHOREWALL AKCEPTUJE ŻĄDANIE DO PORTU 8080 -> ZNAJOMY INFORMATYK UZYSKUJE DOSTĘP DO DANYCH NA PORCIE 8080
Grażyna bez certyfikatu OpenVPN -> KORZYSTA ZE ZWYKŁEGO POŁĄCZENIA -> SHOREWALL ODRZUCA ŻĄDANIE DO PORTU 8080 -> POŁĄCZENIE NIE ZOSTAJE NAWIĄZANE
Podpowie mi ktoś jak takie coś zrobić?
Offline
#2 2017-05-14 20:42:45
hubot - Użytkownik
- hubot
- Użytkownik
- Zarejestrowany: 2017-04-13
Re: Ograniczenie dostępu do serwera Glassfish
Mam na myśli "dostęp mają tylko ci, którzy "są" w sieci VPN a ci, którzy nie są w tej sieci dostępu nie mają".
Offline
#3 2017-05-14 22:55:03
lis6502 - Łowca lamerów
- lis6502
- Łowca lamerów
- Skąd: Stalinogród
- Zarejestrowany: 2008-12-04
Re: Ograniczenie dostępu do serwera Glassfish
Dropuj każdy ruch na porcie 8080 i tym drugim
Zezwól na ruch na porcie 8080 i tym drugim dla interfejsu tun/tap.
Nie jestem biegły w iptables (a w nakładkach typu shorewall to już w ogóle xD), więc nie podam Ci gotowej formułki do wklepania, ale tak to idzie zrobić firewallem.
Druga możliwość- nie wiem co tam Ci siedzi na tym 8080, ale może po prostu w konfigu tego czegoś zmień adres nasłuchu?
Załóżmy że chodzi o ssh
Masz teraz tak:
Kod:
Listen 0.0.0.0 Port 8080
Przy założeniu że eth0 = 172.16.0.0/16 tun0 = 10.8.0.0/24 ustaw tak
Kod:
Listen 10.8.0.0 Port 8080
.
Ja tak na przykład mam skonfigurowany serwer dhcp, dns, ssh i jeszcze kilka: wszystko nasłuchuje na interfejscie ovpnowyn :)
Offline