Форум русскоязычного сообщества Ubuntu


Автор Тема: VPN, iptables или вопрос безопасности  (Прочитано 612 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Wanellenne

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
VPN, iptables или вопрос безопасности
« : 18 Декабрь 2020, 12:53:11 »
Доброго времени суток всем, кто решится помочь мне с этим вопросом.

Недавно устроился в компанию и мне дали задачу, как её решить - не понимаю, буду благодарен за помощь.

Что мы имеем:
  • Имеется выделенный сервер на хостинге
  • На сервере имеется prometheus, grafana, node exporter и тд
  • prometheus, grafana, node exporter условно висят на <ip-address>:<port>
  • Так же, имееются prod сайты, которые имеют свой back-end и front-end и соответственно доступны по доменному имени

Задача:
  • Организовать извне доступ к prod сайтам, но при этом, закрыть доступ ко всему остальному(prometheus, grafana, node и т.д.)
  • При этом, сотрудникам офиса должны остаться доступны метрики
В моем понимании, это можно реализовать посредством VPN сервера, т.е., если человек не подключен к нашему VPN - доступ до метрик ему закрыт, но он может попасть на доменные имена и пользоваться сайтами
Если он подключен к нашему VPN - у него становятся доступны и метрики и наши сайты.

Вопрос:
Как и какими средствами это реализовать правильно и качественно?
« Последнее редактирование: 18 Декабрь 2020, 12:55:57 от Wanellenne »

Оффлайн peregrine

  • FSM
  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 7188
  • Gentoo x64 Ubuntu 16.04.1 x64
    • Просмотр профиля
Re: VPN, iptables или вопрос безопасности
« Ответ #1 : 18 Декабрь 2020, 14:36:39 »
Это довольно обширный и сложный вопрос, особенно если надо надёжно. Наиболее быстро качественно будет нанять опытного системного администратора. А если только список интсрументов перечислить, то OpenVPN, iptables, fail2ban и т.д.. Ну и ещё всё зависит от вашей паранойи и блокировок vpn-ов в вашей стране при помощи, например dpi систем.

Оффлайн Wanellenne

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: VPN, iptables или вопрос безопасности
« Ответ #2 : 18 Декабрь 2020, 15:23:36 »
Это довольно обширный и сложный вопрос, особенно если надо надёжно. Наиболее быстро качественно будет нанять опытного системного администратора. А если только список интсрументов перечислить, то OpenVPN, iptables, fail2ban и т.д.. Ну и ещё всё зависит от вашей паранойи и блокировок vpn-ов в вашей стране при помощи, например dpi систем.

Имеется ли возможность, подсобить ссылкой на любой ресурс с необходимой мне темой?
Дальше я разберусь самостоятельно (надеюсь), т.к. в любом случае, эту задачу решать придется именно мне, пусть это и займет какое-то длительное время.

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 466
    • Просмотр профиля
Re: VPN, iptables или вопрос безопасности
« Ответ #3 : 18 Декабрь 2020, 15:55:08 »
Имеется ли возможность, подсобить ссылкой на любой ресурс с необходимой мне темой?
Дальше я разберусь самостоятельно (надеюсь), т.к. в любом случае, эту задачу решать придется именно мне, пусть это и займет какое-то длительное время.
Как настроить OpenVPN вот довольно толковый и рабочий мануал: https://community.vscale.io/hc/ru/community/posts/209661629-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BF%D0%B5%D1%80%D0%B2%D0%B8%D1%87%D0%BD%D0%B0%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-OpenVPN-%D0%BD%D0%B0-Ubuntu-16-04

как настроить разграничение по ip-адресам на основе VPN сети вот тут: https://www.8host.com/blog/sozdanie-intraseti-s-pomoshhyu-openvpn-v-ubuntu-16-04/ смотри раздел интрасети. Там фактически разграничение доступа упирается в доступность ресурсов который обслуживает Apache2 через вируальный хостинг только для клиентов внутренней сети VPN c сего ip адресами через
редактирование настроек виртуального хостинга <VirtualHost 10.8.0.1:80>

Оффлайн Wanellenne

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: VPN, iptables или вопрос безопасности
« Ответ #4 : 18 Декабрь 2020, 17:56:01 »
Имеется ли возможность, подсобить ссылкой на любой ресурс с необходимой мне темой?
Дальше я разберусь самостоятельно (надеюсь), т.к. в любом случае, эту задачу решать придется именно мне, пусть это и займет какое-то длительное время.
Как настроить OpenVPN вот довольно толковый и рабочий мануал: https://community.vscale.io/hc/ru/community/posts/209661629-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BF%D0%B5%D1%80%D0%B2%D0%B8%D1%87%D0%BD%D0%B0%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-OpenVPN-%D0%BD%D0%B0-Ubuntu-16-04

как настроить разграничение по ip-адресам на основе VPN сети вот тут: https://www.8host.com/blog/sozdanie-intraseti-s-pomoshhyu-openvpn-v-ubuntu-16-04/ смотри раздел интрасети. Там фактически разграничение доступа упирается в доступность ресурсов который обслуживает Apache2 через вируальный хостинг только для клиентов внутренней сети VPN c сего ip адресами через
редактирование настроек виртуального хостинга <VirtualHost 10.8.0.1:80>

Вполне вероятно, это именно то, что мне нужно. Будем пробовать, спасибо!
 
Но если у кого-то есть еще варианты, как это реализовать иначе - буду рад выслушать и попробовать!

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1484
    • Просмотр профиля
Re: VPN, iptables или вопрос безопасности
« Ответ #5 : 18 Декабрь 2020, 20:24:30 »
Как и какими средствами это реализовать правильно и качественно?

доступ к метрикам через Authentication and Authorization

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27660
    • Просмотр профиля
Re: VPN, iptables или вопрос безопасности
« Ответ #6 : 19 Декабрь 2020, 09:43:20 »
Тривиально решается без VPN. HTTPS + авторизация.
Если хочется прозрачно, настройте авторизацию по сертификатам.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.071 секунд. Запросов: 25.