в случае, если вы хотите, чтобы скрыть порт вашего веб-сервера с помощью VPN (openvpn) на хосте веб-сервера
в таком случае, вы могли бы
- настроить VPN-сервер, электронная. г. OpenVPN и слушать на IP вашего хоста, электронная. г. 192.168.1.1, порт 1194
- настройка веб-сервера для прослушивания только 192.168.1.1, порт 4444
- остановите переадресацию портов на маршрутизаторе, который перенаправляет трафик из интернета на веб-сервер
- настройте переадресацию портов в вашем маршрутизаторе, который перенаправляет трафик из интернета на vpn-сервер на порту 1194 (я лично использую другой порт снаружи, так что маршрутизатор будет пересылать e. g. порт 11945 для порта 1194 на хосте)
- подключение к vpn через интернет
- наведите браузер на веб-приложение по адресу 192.168.1.1, порт 4444
в этом случае вам, вероятно, даже не нужны iptables. Ваш маршрутизатор знает только перенаправить этот порт (1194) на ваш хост, и что один порт может быть установлен или подключен только с правильными ключами и сертификатами.
Все остальные порты закрывать не нужно, так как они недоступны через маршрутизатор.
в случае, если вы хотите, чтобы ваш веб-сервер подключаемый только от IP-адреса VPN
Я предполагаю из ваших комментариев, однако, что вы используете VPN с вашего ноутбука, и что ваш веб-сервер подключен к " простой" интернет.
В этом случае откройте брандмауэр/iptables только для VPN IP, e. g. 3.2.2.2.2
iptables -A INPUT -s 3.2.2.2/32 -j ACCEPT
или, более тонко зернистый
iptables -A INPUT -p tcp -s 3.2.2.2/32 --dport 4444 -j ACCEPT
внимание: это не должно быть единственным правилом. Вы, вероятно, хотите получить доступ к хосту через SSH из вашей локальной сети или вообще разрешить все из вашей локальной сети:
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
кроме того, вы хотите разрешить localhost дорожного движения:
iptables -A INPUT -i lo -j ACCEPT
после этого вы можете закрыть любой другой входящий порт:
iptables -P INPUT DROP
обязательно проверьте это на свой собственный диапазон IP-адресов и собственные VPN-IP-адрес.
также, вы должны настроить свой маршрутизатор / модем для пересылки любой порт, е. g. 4444 или 44444 на порт вашего веб-сервера 4444.
в случае, если вы хотите запустить VPN-сервис (Частный доступ в интернет) и веб-сервер в той же host
глядя вверх privateinternetaccess.com, я понял, что
- есть клиентские программы для различных операционных систем, среди них Линукс. (см. здесь)
- PIA рекомендует, однако, использовать openVPN в случае, если вы всегда хотите иметь тот же IP-адрес VPN (см. здесь)
так
запустить VPN локально, поэтому, когда DDNS разрешит IP, он будет укажите на свой VPN
соединение
вы
- установить openVPN
- отредактируйте файл ovpn, предоставленный PIA, чтобы всегда подключаться к одному и тому же VPN-серверу
- запустить openVPN-соединение с PIA
- настройте ваш клиент DDNS, что он ищет и обновляет IP-адрес только после соединение VPN установлено. Клиент DDNS теперь должен найти
3.2.2.2 как ваш IP-адрес, обновите его в DDNS сервер, и ваши клиенты могут решить yourhost.yourddns.com to 3.2.2.2.
- пока Пиа не рекомендует к так (посмотреть здесь), вы должны быть в состоянии включить переадресацию портов в PIA, как описано здесь на порт 4444.
Komp
2634
