Üdv!
Adott az alábbi, hevenyészett topológia:
Szerverhotelben lévő Mikrotik router mögött van több szerver, az ügyfelek pedig igénybevesznek róluk szolgáltatásokat.
A szerverek LAN-os IP tartományban (példánkban 10.20.30.0/24) csücsülnek, a távoli felhasználók pedig PPTP VPN-en érik el ezeket.
A vpn-pool is ebből a címtartományból kerül ki (10.20.30.100-120).
A valós példát szemlélteti az alábbi topológia (by Dia):
A rajzról sajnos lemaradt, de ráadás-ként ez a router LAN2LAN VPN-nel is össze van kötve további irodai LAN-okkal, szintén MIkrotik routerekkel, L2TP VPN-en keresztül. Ez így szép és jó, mert minden élő VPN kapcsolat bekerül a routing táblába, DE ezáltal a PPTP VPN-es felhasználók nem csak a szervertermi gépeket, hanem a távoli irodai hálózatokat is látják. Ez ugyebár meglehetősen nagy sechole, mert ha a külsős poweruser elkezdi szanaszét scannelni, hogy mi van a VPN mögött, az csak neki jó, nekünk nem feltétlenül... :o
A célom az lenne, hogy ezt az így megörökölt "VPN-felhőt" a lehető legbiztonságosabbá tegyem azáltal, hogy a PPTP-n bejövő adott userek kizárólag csak adott szerver vagy szerverek, adott TCP-portokhoz kötött, adott szolgáltatásait érhessék csak el, ugyanakkor a LAN2LAN-nal bekötött irodai hálózatok, illetve másik csoportba tartozó PPTP-s felhasználók ne legyenek korlátozva.
Tehát nekem igazán a PPTP kapcsolatok profiljaihoz hozzárendelt tűzfalszabályok kellenének, amelyekkel meg lehetne ezt valósítani.
Igazándiból három csoport kellene, ez három profilt jelentene:
- Egy adott szerver és egy port használatára korlátozott VPN-esek: pl. SRV1 10.20.30.250:3389/TCP-t érjék csak el, hogy RDP-n megkapják a távasztalukat. Ők mondjuk az "user-profile" csoport tagjai, PPTP secretben ez lenne beállítva.
- Külsős fejlesztők elérhessék az adott szerverek csoportját, akár az összes példában látható eszközt, de csak adott portokat/szolgáltatásokat, pl: RDP, HTTP(S), Oracle TNSLSNR (1521/TCP), etc. Ők az "expert-profile"-t kapnák meg PPTP secretben.
- És végül maradnánki mi, az "admin-profile" csoportban, akik mindent látnának korlátozások nélkül.
A legfontosabb cél az lenne, hogy az "user-profile" és az "expert-profile" csoportok csak a rájuk tartozó dolgokhoz férjenek hozzá, a többit ne is láthassák!
Minden, a rendelkezésre álló eszközökkel kivitelezhető ötletet hálásan megköszönünk!
Üdv:
Vales
- 2594 megtekintés
Hozzászólások
jött egy válasz:
"Az általad említett problémát úgy tudod megoldani ,hogy a ppp profilokhoz, vagy külön minden felhasználóhoz az incoming és outgoing filternél felveszel ún. filter chaineket. Az IP/Firewall menüben tudsz tűzfalszabályokat létrehozni. Új szabály hozzáadásakor a chain mezőbe beírva az adott user, vagy profile filter chainjét, arra alkalmazható az adott szabály."
[ps. /aén/: kérlek ne zárjátok le ezt a post-ot hozzászólással, másik thread-be az esetleges reakciókat! köszi!]
- A hozzászóláshoz be kell jelentkezni
Köszönöm, megnézem és megírom, mire jutottam vele!
---
"Boredom and drudgery are evil..." (Eric S. Raymond: How To Become A Hacker)
- A hozzászóláshoz be kell jelentkezni
"[ps. /aén/: kérlek ne zárjátok le ezt a post-ot hozzászólással, másik thread-be az esetleges reakciókat! köszi!]"
- A hozzászóláshoz be kell jelentkezni