很确定答案是否定的,但我无法确定如何确认(我无法找到要搜索的关键字)。
情况:我有一个 Linux (Debian) OpenVPN 服务器,我需要通过两种方式连接到该服务器:
出于安全风险,我不想向公众开放 ssh;截至目前,服务器仅侦听本地地址(VPN 客户端)。
问题:我能否仅使用一个 OpenVPN 服务器会话并修改客户端配置来实现此目的,还是必须运行两个单独的 OpenVPN 会话(一个用于完全隧道访问,一个用于拆分隧道访问)?
【问题讨论】:
标签: openvpn
有多种方法可以限制对公共客户端节点的 ssh 访问。
您可以使用 iptables 为您的客户端/服务器设置防火墙。
sudo iptables -I INPUT -p tcp --dport 22 -s 10.8.0.0/16 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j REJECT
它将仅允许通过特定网络(在您的情况下为 vpn)上的 ssh 连接,并阻止来自所有其他网络的 ssh。
您可以使用 TCP Wrapper 。 TCP wrapper 使用 2 个文件,/etc/hosts.allow 和 /etc/hosts.deny
编辑 /etc/hosts.allow 并添加您的子网
sshd : 10.8.0.
编辑 /etc/hosts.deny 并全部拒绝
ALL : ALL
您可以在 /etc/ssh/sshd_config 中设置多个选项。一个是AllowUsers。
AllowUsers you@10.8.0.0/16
【讨论】: