Evitar o acesso ao compartilhamento AFP através de conexão VPN?

1

Eu preciso configurar um acesso externo restrito aos compartilhamentos de arquivos na rede.

É, existem alguns arquivos sensatos que precisam ser escondidos quando alguém se conecta a partir da (eventual) VPN.

Configuração:

Servidor Mac OS X 10.5, atualizado Diretório Aberto + Samba + Kerberos Várias janelas e clientes do Mac OS, não mais que XP ou 10.5, até onde me disseram.

Minha idéia, desde o início, era configurar a VPN para que ela alocasse endereços IP de outra sub-rede, reunisse as sub-redes usando o firewall e bloqueasse o acesso a algumas pastas usando as regras do Samba e permitisse a aplicação do sistema a ACL relevante para as pastas restantes.

É possível fazer uma coisa dessas usando os pontos de compartilhamento AFP e combinar toda a grandeza da VPN em potencial, do Open Directory e de todos, para impedir o acesso de fora? Se sim, como?

    
por Olivier Tremblay 22.12.2009 / 20:29

2 respostas

1

Nós fazemos exatamente isso. Os clientes VPN são colocados em uma sub-rede diferente dos servidores AFP. Eles devem passar por um roteador, que tem a capacidade de bloquear a porta 548. Damos mais um passo, definindo duas classes em usuários VPN com base em uma chave pré-compartilhada. Podemos, então, definir regras de maneira diferente com base na classe do usuário da VPN.

Você não precisa bloqueá-lo no roteador. Você também pode ativar o firewall no Mac OS X Server e bloqueá-lo.

Se você bloquear apenas a porta 548, o Samba / CIFS continuará funcionando.

    
por 03.03.2010 / 01:50
0

Se os seus clientes VPN estiverem em uma sub-rede diferente de seus clientes de LAN, você poderá usar o Firewall de Servidor integrado para restringir o acesso de AFP (porta 548) à sub-rede da LAN.

    
por 23.12.2009 / 02:34