読者です 読者をやめる 読者になる 読者になる

mazeltov7のweb断片

備忘録的なテキトーなことを書きます。間違ってたり、ツッコミあればお願いします。

アクセスをオフィスのwifiに限定して、外からはVPNでアクセスできるようにする

オフィスのwifiに接続した状態で、

// 今接続してるグローバルIPを確認
$ curl httpbin.org/ip

サーバーのiptablesの設定を変更して、オフィスwifiのアクセスだけアクセスを許可する。適当にIP=123.456.789.12とする。

// iptablesの設定を編集する
$ vim /etc/sysconfig/iptables
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34:3064]
-A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset
COMMIT

$ service iptables restart

な感じでINPUT ACCEPTしつつ、制限したポートのところを-s 123.456.789.12IP指定してACCEPTする。iptablesの設定は上から見られて、一度読まれると同じ意味のものはそれでFixされてしまうので、後ろに書いても上書きはされない感じ。
Anyways, これで、オフィス以外からはアクセスできなくなる。

VPNアカウントはもう作ってる状況とする。
Macで、VPN使って入れるようにする。以下参考にすればOK。(余談だけど、Macツールバーの上のところにいつでもVPNに接続できるようにアイコンおけるの便利)
- Mac OS X からの接続方法 - SoftEther VPN プロジェクト
- 特定の接続のみ VPN 経由させる方法。「すべてのトラフィックを VPN 経由で接続」にチェックは不要。 | 雑記 BOOOKs