关于安全其实能讲的有很多,这里只是简单的记录一下我的iptables设定, 我开有22(ssh)服务,1194(openvpn,tcp)服务,80(http)web服务,443(https)web服务, 我在实体机器上的设定: #!/bin/sh iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tap+ -j [...]
以下内容为个人配置笔记,仅供参考,请勿用于生产环境 其实本人对vpn服务的搭建比较陌生,主要参考的还是这篇文章http://freshventure.wordpress.com/2009/12/22/在ubuntu上搭建openvpn服务器,并配合mac和windows的客户端/(需要翻墙) 在这里重新撰写一篇算是备份外加自己的整理,在最后还有一篇关于搭建ssh反向代理服务的简单说明。 首先安装openvpn: sudo apt-get install openvpn 然后拷贝ca证书,server证书和client证书的生成脚本到我们自己的配置路径下,还有样例的服务器配置文件也解压一份,捣鼓一番: cd /etc/openvpn/ sudo cp -af /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn gzip -d server.conf.gz 进入/etc/openvpn/easy-rsa开始生成根证书、服务器证书、和客户端证书,注意这一步最好以root身份执行,证书生成完了后把ca证书也就是根证书和你个人的客户端证书和私钥拿出来即可: 切换到root身份: cd /etc/openvpn/easy-rsa/ sudo -sH 清理环境构建配置目录: source ./vars ./clean-all 构建CA根证书,回答该回答的问题,国家代号和省一级的代号都是两个字符,中国是CN,当然你设个不存在的地方也没人来找你,不建议设置密码: ./build-ca 构建服务器证书,回答该回答的问题,不建议设置密码: ./build-key-server server 构建个人证书也就是客户端证书,建议设置密码: ./build-key client1 命令中的client1为你个人证书的名字可以随便,比如nick,axiong,chunge,lurenjia等等。 然后构建Diffie Hellman参数,这部可能要花几分钟时间生成随机数,你如果对安全比较在意可以在vars里设置为2048位的,这些主要是非对称加密算法里用来保证安全用的。 ./build-dh 在这些证书都生成完成后建议退出root身份。 在证书啥的都搞定了后可以开始搞服务器配置了: sudo vi /etc/openvpn/server.conf 服务器的配置没啥好多说的,偶这里就灰常没牙齿的拷贝一下freshventure的注释版,改改并加上收集来的资讯,适应我的配置了: # 写入你vps的公网ip地址 local 64.233.189.104 [...]
