У меня есть Debian VPS с двумя публичными IP-адресами: 90.90.90.90 и 90.90.90.100.
Я бы хотел, чтобы сервер принимал входящий трафик только на другой публичный IP-адрес.
Пример:
У меня на сервере запущен OpenVPN-сервер. Когда я создаю VPN-подключение к 90.90.90.90, публичный IP будет 90.90.90.100. (Это текущая ситуация)
Я не хочу, чтобы порты OpenVPN были открыты для 90.90.90.100, а только для другого IP-адреса, который я использую при подключении к серверу.
Возможно ли это с помощью iptables или каким-то другим методом?
Спасибо!
решение1
Если я правильно понял, вы хотите, чтобы VPN-подключения к IP №1 маскировали свои исходящие соединения под IP №2, а VPN-подключения к IP №2 маскировали свои исходящие соединения под IP №1.
Для этого ответа мы назовем 90.90.90.90 IP #1 и 90.90.90.100 IP #2.
Самый простой способ сделать это — запустить 2 сервера OpenVPN. Настройте каждый с разным диапазоном частной подсети, например, входящие соединения на IP №1 будут получать адреса в диапазоне 10.0.1.0/24, а входящие соединения на IP №2 будут получать адреса в диапазоне 10.0.2.0/24.
Файлы конфигурации в основном будут такими же, как и исходная конфигурация, за исключением трех строк. Первая конфигурация будет иметь следующее:
local 90.90.90.90
server 10.0.1.0 255.255.255.0
push "route 10.0.1.0 255.255.255.0"
А во втором случае будет вот это:
local 90.90.90.100
server 10.0.2.0 255.255.255.0
push "route 10.0.2.0 255.255.255.0"
Перезапустите службу OpenVPN, чтобы убедиться, что оба файла конфигурации активированы.
Затем, чтобы убедиться, что соединения получают правильный внешний IP-адрес при выходе из вашего VPN-сервера, вы можете использовать следующие правила iptables. Замените eth0 на фактическое имя интерфейса.
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 90.90.90.100
iptables -t nat -A POSTROUTING -s 10.0.2.0/24 -o eth0 -j SNAT --to 90.90.90.90
Теперь vpn-подключения приходят на один IP и выходят, притворяясь другим. Это может быть сложнее, чем нужно, в частности, нет смысла запускатьдваvpn-серверы, в этом случае просто удалите одну из конфигураций и используйте исключительно оставшуюся конфигурацию.