Atribuir IP específico ao aplicativo

4

Aqui está minha configuração atual:

  • Máquina A com um único ipA : servidor Debian de uso geral com ssh, servidor web, etc ...
  • Máquina B com um único ipB : servidor openvpn (também no debian)

Meu objetivo é usar a mesma máquina física para fazer o mesmo ( Máquina C com ipA e ipB na mesma interface física ):

  • tudo (ssh, servidor web, ...) através de ipA
  • exceto o openvpn por meio do ipB .

Meu requisito é que um usuário externo não consiga (excluindo canais secundários) inferir que o ipA e o ipB são roteados para a mesma máquina física. Como exemplo, todos os serviços atuais da Máquina A não devem escutar no ipB.

Além disso, como a Máquina B é usada apenas para o openvpn, eu gostaria de evitar uma solução baseada em hipervisor. Espero que haja uma maneira de "prender" openvpn e ipB no meu sistema operacional existente.

Quais tecnologias / pacotes devo usar neste caso?

Como o openvpn é sensível à latência e tem fome de recursos, as tecnologias leves são preferidas.

    
por pzmsd 09.01.2017 / 13:37

1 resposta

2

A melhor opção é fazer isso em todas as configurações de serviço e configurar todos os serviços para escutar ip específico e não qualquer ip, mas, você pode fazer isso em iptables para poder descartar qualquer pacote que tenha destino ipB e a porta não é openvpn port ou apenas permite destino ipB e porta openvpn mas aqui você perderá a capacidade de usar a porta com ipA.

Para exmpale:

iptables -t filter -A INPUT -p udp -d <ipB> --dport 1194 -j ACCEPT
iptables -t filter -A INPUT -p tcp -d <ipB> --dport 1194 -j ACCEPT

iptables -t filter -A INPUT -p udp --dport 1194 -j DROP
iptables -t filter -A INPUT -p tcp --dport 1194 -j DROP

Aqui estou permitindo apenas a conexão na porta 1194 para o pacote que tem o destino ipB

    
por 09.01.2017 / 13:57