Prévenir l'access par partage AFP par connection VPN?

Je dois configurer un access externe restreint aux partage de files sur le réseau.

Il y a des files sensibles qui doivent être cachés lorsque quelqu'un se connecte à partir du (éventuel) VPN.

Installer:

Serveur Mac OS X 10.5, à jour Open Directory + Samba + Kerberos Diverses servers Windows et Mac OS, pas plus anciens que XP ou 10.5 autant que je l'ai dit.

Mon idée, dès le début, était de configurer le VPN afin qu'il alloue des adresses IP à partir d'un autre sous-réseau, apathe les sous-réseaux en utilisant le pare-feu et bloque l'access entrant à certains dossiers en utilisant les règles de Samba et laissez le système appliquer l'ACL pertinente pour les dossiers restants.

Est-il possible de faire une telle chose en utilisant les points de partage AFP et de combiner toute la grandeur entre le VPN potentiel, Open Directory et tout, pour empêcher l'access de l'extérieur? Si c'est le cas, comment?

Nous faisons exactement cela. Les clients VPN sont mis sur un sous-réseau différent des servers AFP. Ils doivent passer par un routeur, qui a la capacité de bloquer le port 548. Nous allons un peu plus loin en définissant deux classs sur les users VPN en fonction d'une key pré-partagée. Nous pouvons alors définir des règles différemment selon la class d'user VPN.

Vous n'avez pas vraiment besoin de le bloquer au routeur. Vous pouvez également activer le pare-feu dans Mac OS X Server et le bloquer là-bas.

Si vous bloquez uniquement le port 548, Samba / CIFS continuera à fonctionner.

Si vos clients VPN se trouvent sur un sous-réseau différent de vos clients LAN, vous devriez pouvoir utiliser le Firewall du server embedded pour restreindre l'access AFP (port 548) au sous-réseau LAN.