Tengo un VPS Debian con 2 direcciones IP públicas, 90.90.90.90 y 90.90.90.100.
Lo que me gustaría hacer es hacer que el servidor acepte tráfico entrante sólo a la otra IP pública.
Ejemplo:
Tengo un servidor OpenVPN ejecutándose en el servidor. Cuando hago una conexión VPN a 90.90.90.90, la IP pública será 90.90.90.100. (Esta es la situación actual)
No quiero que los puertos OpenVPN estén abiertos para 90.90.90.100, solo para la otra IP que uso cuando me conecto al servidor.
¿Es esto posible usando iptables o algún otro método?
¡Gracias!
Respuesta1
Si entiendo a dónde quiere llegar con esto, quiere que las conexiones VPN realizadas a la IP n.º 1 enmascaren sus conexiones salientes como IP n.º 2 y las conexiones VPN realizadas a la IP n.º 2 para enmascarar sus conexiones salientes como IP n.º 1.
Por el bien de esta respuesta, llamaremos al 90.90.90.90 IP #1 y al 90.90.90.100 IP #2
La forma más sencilla de hacerlo es ejecutar 2 servidores openvpn. Configure cada uno con un rango de subred privada diferente, por ejemplo, las conexiones entrantes en la IP n.° 1 recibirán direcciones en el rango 10.0.1.0/24, y las conexiones entrantes en la IP n.° 2 recibirán direcciones en el rango 10.0.2.0/24.
Los archivos de configuración serán en su mayoría los mismos que la configuración original, excepto por tres líneas, la primera configuración tendrá lo siguiente:
local 90.90.90.90
server 10.0.1.0 255.255.255.0
push "route 10.0.1.0 255.255.255.0"
Mientras que el segundo tendrá esto en su lugar:
local 90.90.90.100
server 10.0.2.0 255.255.255.0
push "route 10.0.2.0 255.255.255.0"
Reinicie el servicio openvpn para asegurarse de que ambos archivos de configuración estén activados.
Luego, para asegurarse de que las conexiones obtengan la dirección IP externa correcta al salir de su servidor VPN, puede usar las siguientes reglas de iptables. Reemplace eth0 con el nombre de la interfaz real.
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 90.90.90.100
iptables -t nat -A POSTROUTING -s 10.0.2.0/24 -o eth0 -j SNAT --to 90.90.90.90
Ahora las conexiones VPN entran por una IP y salen haciéndose pasar por la otra. Esto puede ser más complicado de lo necesario, específicamente no hay razón para ejecutardosservidores vpn, en cuyo caso, simplemente elimine una de las configuraciones y use la configuración restante exclusivamente.