Linux Server Verbindung nur über VPN zulassen?
Hallo Zusammen,
ich besitze einen Linux-Server mit dem Image Ubunut 18.4. Es gibt die Möglichkeit bei dem Anbieter VPN mit OpenVPN zu erstellen sodass ein Computer sich mit diesem verbindet.
Wie im Titel bereits steht möchte ich gerne das man meinen Server nur noch erreichen kann, wenn man sich mit seinem jeweiligen VPN verbunden hat. Existiert dafür eine Möglichkeit ?
2 Antworten
Nichts einfacher als das:
iptables -P INPUT DROP
iptables -A INPUT udp --dport 1194 -j ACCEPT
Der erste Befehl setzt die Policy der Firewall für eingehende Pakete auf Drop. Das bedeutet, dass alles, was nicht explizit erlaubt ist, verworfen wird. Standardeinstellung ist ACCEPT.
Der zweite Befehl hängt eine Regel ans Regelwerk (-A steht für Append), mit dem Du alles, was auf den UDP-Port 1194 ankommt, erlaubst. Wenn Du OpenVPN auf einem anderen Port betreibst, musst Du den Befehl natürlich anpassen. Wenn Du TCP statt UDP verwendest, musst Du ebenfalls anpassen.
Wie administrierst Du den Server? Wenn der VPN-Tunnel aus irgendwelchen Gründen ausfällt, musst Du an den Server kommen.
Außerdem solltest Du das Paket
iptables-persistent
installieren und die Firewallregeln mit
netfilter-persistent save
sichern. So werden die Regeln nach einem Neustart wieder hergestellt.
ja klar, mit iptables kannst Du den Zugriff auf den Server ganz nach Wunsch einschränken und steuern.
Sprich ich würde in einem iptable die IP-Adresse von der VPN-IP eintragen, so dass der Server nur noch diese IP-Adressen durch lässt.
genau. Wenn das VPN beim Server-Standort über eine bekannte IP oder Subnetz rauskommt kannst Du nur noch das zulassen.
Ubuntu bringt für einfache iptables Setups die "ufw" mit. Die hilft evtl. dabei das einzurichten.
Das ist der falsche Ansatz. Pakete, die nicht für die IP-Adresse Deines Servers sind, kommen da sowieso nicht an. Die Regel würde überhaupt nichts bringen. Du musst eine Regel für den Port schreiben, die OpenVPN verwendet. Siehe meine Antwort.
Deine Methode ist nicht tauglich für ein OpenVPN vom Provider.
Sondern nur wenn's selber direkt auf dem Server gehostet wird.
Das sehe ich anders. Deine Variante ist hingegen untauglich.
Deine Meinung darfst Du haben. Ändert halt nichts an den Tatsachen.
Wenn der Provider auf einem separaten Host OpenVPN terminiert und routet, dann filterst Du genau gar nichts mehr bei Dir lokal auf dem Server mit Deinen Regeln.
Aber egal. Ich werde hier nicht weiter diskutieren.
Wo kommt denn der "separate Host" hier? Der Fragesteller hat einen Server, auf dem der OpenVPN-Server läuft. So verstehe ich die Frage jedenfalls.
interessant so werde ich es machen danke !