Как разрешить доступ к ssh только через vpn?

Question

[saanneekk]

Как разрешить доступ к SSH серверу, только для одного vpn подключения. VPN сервер поднят на этой же машине.
Пробовал через:

/etc/hosts.allow
SSHD: ip.адрес.сервера
/etc/hosts.deny
SSHD: ALL

подключался к vpn пытался залогинится, но сервер отфутболивал меня.
Также пробовал через iptables

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source ip.адрес.сервера -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j DROP

Но результат тот же.

Answer 1

[Melkij]

Почему --source ip.адрес.сервера? IP адрес клиента должен быть, который по VPN выдаётся.
Или IP адрес сервера на VPN-интерфейсе, но тогда адрес назначения пакета.

Comments

[saanneekk]

ip адрес сервера и ip адрес vpn-клиента идентичны, они подняты на одном и том же сервере

[Melkij]

Вы написали "VPN сервер поднят на этой же машине". Теперь вы хотите сказать, что и клиент запущен с этой же самой машине? А зачем?

[saanneekk]

Melkij: VPN клиент при подключении к VPN-серверу получает IP-сервера

[Melkij]

Это как? Это же виртуальная сеть, хотя бы 2 адреса в ней должно быть. Плюс ещё два адреса для внешней сети.

[Melkij]

Но внешние адреса нам безразличны. Они нужны только софту, поднимающему сам VPN. Остаются два адреса внутри VPN - один сервера и один клиента.

[Николай Корабельников]

Даже если VPN клиент и VPN сервер - одна и та же машина(что мне кажется бессмысленным на первый взгляд), то у вас должны в итоге быть 2 разных IP у сервера и у клиента. Так устроен стек протоколов TCP/IP

Answer 2

[Василий Ангапов]

1) В hosts.allow нужно писать не айпи адрес данного сервера, а айпи адрес того компа, с которого вы будете подключаться.
2) В iptables в --source то же самое.
3) Ну и более корректно вместо "-p tcp --dport" писать "-m tcp - p tcp --dport".
4) Вам совершенно верно указали, что второе правило по сути отменяет первое.

Comments

[saanneekk]

1) В 3 раз повторяю, они идентичны.
2) то же самое
4) Все там правильно)

[Даниил Муйдинов]

с порядком правил все правильно:
При добавлении правил IPTables важно помнить о том, что их порядок имеет значение. Например, если правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.13 (расположенного в запрещённой локальной подсети), добавленное правило не будет работать. Сначала вы должны добавить правило, пропускающее 192.168.100.13, а затем правило, блокирующее подсеть.
Источник www.rhd.ru/docs/manuals/enterprise/RHEL-3-Manual/r...