VPN, iptables или вопрос безопасности

[Wanellenne]

Доброго времени суток всем, кто решится помочь мне с этим вопросом.

Недавно устроился в компанию и мне дали задачу, как её решить - не понимаю, буду благодарен за помощь.

Что мы имеем:

• Имеется выделенный сервер на хостинге
• На сервере имеется prometheus, grafana, node exporter и тд
• prometheus, grafana, node exporter условно висят на <ip-address>:<port>
• Так же, имееются prod сайты, которые имеют свой back-end и front-end и соответственно доступны по доменному имени

Задача:

• Организовать извне доступ к prod сайтам, но при этом, закрыть доступ ко всему остальному(prometheus, grafana, node и т.д.)
• При этом, сотрудникам офиса должны остаться доступны метрики

В моем понимании, это можно реализовать посредством VPN сервера, т.е., если человек не подключен к нашему VPN - доступ до метрик ему закрыт, но он может попасть на доменные имена и пользоваться сайтами
Если он подключен к нашему VPN - у него становятся доступны и метрики и наши сайты.

Вопрос:
Как и какими средствами это реализовать правильно и качественно?

[peregrine]

Это довольно обширный и сложный вопрос, особенно если надо надёжно. Наиболее быстро качественно будет нанять опытного системного администратора. А если только список интсрументов перечислить, то OpenVPN, iptables, fail2ban и т.д.. Ну и ещё всё зависит от вашей паранойи и блокировок vpn-ов в вашей стране при помощи, например dpi систем.

[Wanellenne]

Это довольно обширный и сложный вопрос, особенно если надо надёжно. Наиболее быстро качественно будет нанять опытного системного администратора. А если только список интсрументов перечислить, то OpenVPN, iptables, fail2ban и т.д.. Ну и ещё всё зависит от вашей паранойи и блокировок vpn-ов в вашей стране при помощи, например dpi систем.

Имеется ли возможность, подсобить ссылкой на любой ресурс с необходимой мне темой?
Дальше я разберусь самостоятельно (надеюсь), т.к. в любом случае, эту задачу решать придется именно мне, пусть это и займет какое-то длительное время.

[AlexDem]

Имеется ли возможность, подсобить ссылкой на любой ресурс с необходимой мне темой?
Дальше я разберусь самостоятельно (надеюсь), т.к. в любом случае, эту задачу решать придется именно мне, пусть это и займет какое-то длительное время.

Как настроить OpenVPN вот довольно толковый и рабочий мануал: https://community.vscale.io/hc/ru/community/posts/209661629-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BF%D0%B5%D1%80%D0%B2%D0%B8%D1%87%D0%BD%D0%B0%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-OpenVPN-%D0%BD%D0%B0-Ubuntu-16-04

как настроить разграничение по ip-адресам на основе VPN сети вот тут: https://www.8host.com/blog/sozdanie-intraseti-s-pomoshhyu-openvpn-v-ubuntu-16-04/ смотри раздел интрасети. Там фактически разграничение доступа упирается в доступность ресурсов который обслуживает Apache2 через вируальный хостинг только для клиентов внутренней сети VPN c сего ip адресами через
редактирование настроек виртуального хостинга <VirtualHost 10.8.0.1:80>

[Wanellenne]

Имеется ли возможность, подсобить ссылкой на любой ресурс с необходимой мне темой?
Дальше я разберусь самостоятельно (надеюсь), т.к. в любом случае, эту задачу решать придется именно мне, пусть это и займет какое-то длительное время.

Как настроить OpenVPN вот довольно толковый и рабочий мануал: https://community.vscale.io/hc/ru/community/posts/209661629-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BF%D0%B5%D1%80%D0%B2%D0%B8%D1%87%D0%BD%D0%B0%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-OpenVPN-%D0%BD%D0%B0-Ubuntu-16-04

как настроить разграничение по ip-адресам на основе VPN сети вот тут: https://www.8host.com/blog/sozdanie-intraseti-s-pomoshhyu-openvpn-v-ubuntu-16-04/ смотри раздел интрасети. Там фактически разграничение доступа упирается в доступность ресурсов который обслуживает Apache2 через вируальный хостинг только для клиентов внутренней сети VPN c сего ip адресами через
редактирование настроек виртуального хостинга <VirtualHost 10.8.0.1:80>

Вполне вероятно, это именно то, что мне нужно. Будем пробовать, спасибо!
 
Но если у кого-то есть еще варианты, как это реализовать иначе - буду рад выслушать и попробовать!

[bezbo]

Как и какими средствами это реализовать правильно и качественно?

доступ к метрикам через Authentication and Authorization

[AnrDaemon]

Тривиально решается без VPN. HTTPS + авторизация.
Если хочется прозрачно, настройте авторизацию по сертификатам.