VPS access on VPN only

[atux_null]

καλησπέρα σας. έχω ένα VPS όπου έχει μια public ΙΡ(έστω την 208.49.62.20).
Τον έχω ασφαλίσει με κλειδιά ssh & fail2ban και του έχω εγκαταστήσει OPENVPN server όπου μοιράζει το εύρος 10.8.0.2-200
θα ήθελα να αφήσω την SSH πρόσβαση να μπορώ να μπαίνω από την public ΙΡ με τα κλειδιά, αλλά η οποιαδήποτε άλλη πρόσβαση να γίνεται μόνο από τις private IPs, δηλαδή από το OPENVPN.
το μηχάνημα τρέχει διάφορες εφαρμογές οπότε θα είναι δύσκολο να το περιορίσω από πλευράς πορτών.

Μπορεί κάποιος να με κατευθύνει σας παρακαλώ?

[karakou]

Συνοπτικα θα πας στο control panel του vps και θα ανοιξεις τις 2 πορτες του sshd, opevpn απο τη wan πλευρα. Δε γινεται αλλιως να σε βρουν οι openvpn clients.
Στα του openvpn ακολουθα ενα οδηγο για routed ip vpn, βαλε να χρησιμοποιει tcp protocol και φτιαξε αναλογα το iptables firewall. Θα πρεπει να μπλοκαρεις με το iptables τους daemons που δε θες να βλεπουν το wan interface.
Θα χρειαστεις αρκετη entropy για τα certificates και μιας κ σε vps δεν υπαρχουν πηγες εντροπιας εγκατεστησε το haveged πριν δημιουργησεις τα πιστοποιητικα.Χρειαζεσαι ισχυρη κρυπτογραφηση.
Σε γενικες γραμμες αυτες ειναι οι βασεις που πρεπει να κινηθεις, να θυμασαι οτι το vpn φτιαχνει δικα του interface(s) κ οι κανονες του firewall, routes πρεπει να χρησιμοποιουν κ αυτα.
Γενικα μη περιμενεις να τα κανεις ολα σωστα με τη πρωτη αλλα οσο ασχολεισαι θα γινεσαι καλυτερος.

[atux_null]

λοιπόν έχω βάλει το παρακάτω
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1194 -j ACCEPT
iptables -P OUTPUT DROP


όπου επιτρέπω μόνο πόρτα 22 και 1194. ότι και αν χτυπήσω απ΄έξω δεν περνάει, άρα θεωρώ ότι είμαι ΟΚ. τα emails (smtp) μου δουλεύουν.
Είναι κάτι άλλο που μου διαφεύγει?

[karakou]

Που εχεις vps, σε ποια hosting εταιρεια; Συνηθως οι πολυ καλες τυπου linode, digital ocean, openshift, azure, amazon εχουν φοβερα how to- ειδικα οι 2 πρωτες. Ακολουθα ενα κατα γραμμα γιατι σου εχουν ξεφυγει καποια πραγματακια νομιζω(δε νομιζω ειμαι βεβαιος γιατι αυτο το firewall ειναι αρκετα λιτο). Δηλαδη αμα δεις τα firewalls που εχω σπιτι μου θα πεις τι κανει αυτος, νομιζει οτι εχει κρατικα/εταιρικα μυστικα που θελουν να του τα κλεψουν αλλες εταιρειες. Το δε firewall στο ρουτερ μου πρεπει να εχει απειρα rules.
*Κι οταν λεω κατα γραμμα δεν εννοω copy-paste αλλα προσπαθησε να κατανοησεις τι κανει καθε εντολη/αλλαγη σε ενα .conf αρχειο.

[atux_null]

το έχω σε μικρή εταιρεία και δεν παρέχει τέτοιου είδους υπηρεσίες.
τι μου έχει ξεφύγει, ας ξεκινήσω με κάτι και σιγά σιγά να στήσω το firewall.
απλά να σημειώσω ότι θα πρέπει όλα να φαίνονται μέσα από το vpn. ακόμη και ο asterisk να μπορεί να βλέπει τα διάφορα trunks, αλλά όποιος θέλει να κάνει register πάνω στο asterisk να είναι αποκλεισιτκά μέσω openvpn που έχω στημένο