Open*** 配置访问权限策略

已于 2022-06-23 22:49:18 修改
阅读量546 收藏
点赞数
分类专栏: Linux OpenVPN 文章标签: linux 运维
于 2021-09-26 22:28:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42599616/article/details/120497735
版权

目录

序言

给不同的角色分配不同的访问权限,如下

RoleVirtual IP RangeAllowed LAN Access
admin10.8.1.0/24anywhere(192.168.2.0/24)
common user10.8.2.0/24192.168.2.66

一、编辑配置文件

vim /etc/open***/server.conf

port 1194
proto tcp
dev tun

ca /etc/open***/certs/ca.crt
cert /etc/open***/certs/server.crt
key /etc/open***/certs/server.key
dh /etc/open***/certs/dh.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 192.168.2.0 255.255.255.0"
# 新增下面这三行
client-config-dir ccd
route 10.8.1.0 255.255.255.0
route 10.8.2.0 255.255.255.0
......

二、新增 ccd 文件

cd /etc/open***

mkdir ccd

# client、admin 为制作 client 端证书时的 common name
echo 'ifconfig-push 10.8.2.1 10.8.2.2' > ./ccd/client

echo 'ifconfig-push 10.8.1.1 10.8.1.2' > ./ccd/admin

每对 ifconfig-push 地址代表虚拟客户端和服务器 IP 端点。它们必须取自连续的 /30 子网,以便与 Windows 客户端和 TAP-Windows 驱动程序兼容。 通俗的讲第一个 IP 为服务器分配给客户端的静态IP,第二个为服务器本身使用的 IP。同时,每个端点对的 IP 地址中的最后一个八位字节必须从以下集合中获取:

[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]

三、配置 iptables

# 10.8.1.0/24 网段可访问所有
iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -j MASQUERADE

# 只允许 10.8.2.0/24 网段访问 192.168.2.66
iptables -t nat -A POSTROUTING -s 10.8.2.0/24 -d 192.168.2.66/32 -j MASQUERADE

四、重启服务测试

最后重启 open*** 服务即可

systemctl restart open***@server

参考资料 : 官方文档

下一篇:保存 iptables 配置并设置开机启动

ヾ临江仙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OPEN3000工程化手册权限及责任区共45页.pdf.z
11-15
4. **权限动态调整**:随着项目发展和人员变动,权限配置需要灵活调整,确保始终符合安全策略。 5. **审计追踪**:记录用户的操作行为,以便进行事后审计和问题排查。 责任区的设定可能涵盖: 1. **功能分区**:将...
Open_LDAP安装配置
08-27
1. **访问控制指令**:在`slapd.conf`中,通过ACI(Access Control Instructions)设置权限,限制用户对目录的访问。 2. **SSL/TLS加密**:启用SSL/TLS可以保护数据在传输过程中的安全性。 3. **备份与恢复**:...
解决openVPN的递归路问题还是要从服务器端下手
最新发布
衡水铁头哥的博客
05-26 500
正文共:1111 字 8 图,预估阅读时间:1 分钟在上篇文章中(以openVPN为例,介绍一下VPN网络中的递归路由问题),我们介绍了递归路由问题出现的原因以及解决方案。但是到最后我们发现,小伙伴在公网上配置的服务器和我在内网搭建的服务器配置还是存在差异,我自己的服务器就下发了到openVPN服务器的明细路由,规避了递归路由的问题出现。然后我分析了一下两者的服务器配置文件,发现确实存在差异。首先...
open集成openldap认证
完颜振江
01-30 1615
一、安装插件 yum -y install openvpn-auth-ldap 二、配置openvpn的server.conf local 0.0.0.0 port 1194 proto tcp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server 10.222.2.0 255.255.255.0 ifconfig-p
通过openVPN,实现安全内网穿透
wangluoanquan111的博客
05-10 961
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
客户端通过网口启动可过去的ip_透过open***来访问内网资源
weixin_33729288的博客
02-12 331
透过open***来访问内网资源本文经高人指点:http://hi.baidu.com/jiekech00客户端和服务器端走open***,服务器和客户机都不是网关设备,想让服务器可以通过隧道来访问客户端的内网的资源一直访问不了,后来发现要两边都要设置一下路由,然后在客户机上面设置一下SNAT进行源地址转换就可以了。在×××服务器的配置文件里面添加路由client-config-dirccd/...
VPN的搭建与使用--CentOS7.9(OpenVpn环境配置
热门推荐
songjiawang
04-24 2万+
vpn测试环境搭建,可用于IT工作者学习使用
win10openvpn搭建与安卓客户端使用(仅用于内网穿透,不可非法使用)
IT赵云的博客
01-21 1万+
在有公网动态ip,域名,和端口映射的电脑上进行搭建openvpn服务端,安卓作为客户端
阿尔卡特用户配置手册
10-24
1.2 **打开其它访问权限**:为了方便多用户管理,可设置不同级别的用户权限,如只读、读写等,确保网络安全。 1.3 **恢复到出厂设置**:当配置出错或需要清除现有配置时,可以执行恢复出厂设置的操作,将设备恢复到...
基于OpenConfiguration配置管理最佳实践.pptx
10-17
- 安全管理:对配置进行权限控制,防止未经授权的访问和修改。 - 性能监控:设置报警阈值,对异常配置变化进行预警。 - 服务治理:协调多个子系统的一致行为,如数据分片和服务路由。 3. **云上配置中心的新挑战...
HCIA-openEuler V1.0 培训教材.zip
12-26
2. **系统服务与安全管理**:介绍openEuler系统中的各种服务管理,如防火墙、日志管理、系统更新与补丁应用,同时强调安全策略的设定,包括访问控制、密码策略和数据加密等。 3. **性能优化与故障排查**:讲解如何...
openVPN】Centos7 部署openVPN多客户端 已连通
m0_49027804的博客
06-01 1万+
openvpn 是一款安全的vpn服务,可以实现多人稳定的远程办公环境
OpenV PN 配置范例及配置文件说明
weixin_34120274的博客
08-12 477
一、配置文件参考样例1、Easy-***配置范例1). easy-*** 证书认证 ***server的配置如下:[root@master open***]# grep -P -v "^(#|;|$)" server.conflocal 202.102.1.1port 1194proto udpdev tapca ca.crtcert ***server.crtkey **...
本地与云服务器(阿里云)实现多客户端虚拟局域网搭建
chastera的博客
08-23 1万+
这里写目录标题阿里云配置本地配置个性化配置及问题客户端固定IP设置WIN7环境下无法打通问题WIN10环境下无法打通问题 阿里云配置 下载openVpn 服务端安装脚本并获取权限 wget https://git.io/vpn -O openvpn-install.sh chmod +x openvpn-install.sh ./openvpn-install.sh 输入自己的配置信息 ip:0.0.0.0 protocol:tcp port:1194 DNS:current system resolve
Openvpn 分配固定IP
dl_wdp的博客
08-02 1万+
Openvpn 分配固定IP 修改server.conf 添加一行: client-config-dir /usr/local/open***-2.1.3/client 添加客户端固定IP cat > /usr/local/open***-2.1.3/client/selboo ifconfig-push 192.168.70.117 192.168.70.118 Ctrl+d 我之前配置为: ifconfig-push 192.168.70.117 255.255.255.0 客户端连接就报错 Mo
企业级Open ViP服务
cp_dvd的博客
08-20 720
生成服务器配置文件#服务器配置文件server.conf文件中以#或;开头的行都为注释;local a.b.c.d #本机监听IP,默认为本机所有IPport 1194 #端口;proto tcp #协议,生产推荐使用TCPproto udp #默认协议udp;dev tap #创建以太网隧道设备,tap设备实现以太网帧通过Openvpn隧道,可提供非IP协议如IPX和AppleTalk等的支持,tap等当于一个以太网设备,它操作第二层数据包如以太网数据帧。
openVPN服务端搭建
liufangaliya的专栏
06-01 7559
openVPN服务端搭建和客户端指定固定IP
OpenVPN 安装与使用
Shawn的个人博客
02-29 2899
可以添加、删除、查看等,网段默认是10.8.0.x,按照客户端启动顺序给予分配ip,同时客户端可以访问server端所在的内网(可以使用route命令查看,原因是转发到vpn网卡的流量全部进行了转发)都提示success代表安装成功,然后根据上图底部的提示路径把ovpn文件下载下来,对于管理客户端,就再次执行。参数表示可以添加路由的条数,默认只允许添加100条路由,如果少于100条路由可不加这个参数。默认不配置是全量转发,如果有多个内网网卡,可以设置选择性转发,在配置文件增加对应配置即可。
理解与配置Cisco访问控制列表
它们通过允许或拒绝特定的数据包流动来控制网络的访问权限。 1.1 Cisco专业参考指南系列 该系列书籍旨在为用户提供Cisco设备的实际操作指导,以适应不同组织的需求。针对访问控制列表的这本指南详细介绍了各种类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值