Добрый день. Необходимо реализовать безопасное удалённое администрирование на основе связки OpenVPN и TightVNC. Администрировать предполагается разнородные хосты (клиенты), причём с минимальным вмешательством в уже существующие сетевые структуры.

Предполагается работать по следующей схеме:

• На хосте-клиенте поднимается либо постоянное подключение к серверу OpenVPN, либо подключение инициирует клиент.
• Администратор должен иметь возможность работать откуда угодно (как из офиса, так и со своего ноутбука, через Интернет).
• Никакого другого трафика, кроме как на порт TightVNC (5900) ходить внутри сети не должно.
• Никакой маршрутизации между физическими сетями быть не должно, весь трафик должен ходить только внутри туннелей.

Самым простым способом реализации мне показался такой: и клиенты, и администратор подключаются к серверу OpenVPN в нашем офисе, после чего администратор, находясь с клиентом в одной виртуальной сети (172.17.255.0/24) и зная статический адрес клиента, подключается к последнему по TightVNC. Я сделал следующее:

• Поднял в нашей сети (192.168.1.0/24) сервер OpenVPN с нуля. (192.168.1.23).
• Настроил его на выдачу статических адресов для каждого клиента, выписал для клиентов и администратора сертификаты

  Конфиг OpenVPN:
  
  Сервер (часть конфигурации):
  ------------------
  local 192.168.1.23
  port 1194
  proto tcp
  dev tun0
  server 172.17.255.0 255.255.255.0
  client-to-client
  client-config-dir /etc/openvpn/ccd
  
  
  Пример клиентской конфигурации (/etc/openvpn/ccd/client1):
  ----------------------------------
  ifconfig-push 172.17.255.9 172.17.255.10
  
  Конфигурация администратора (/etc/openvpn/ccd/admin)
  ----------------------------------
  ifconfig-push 172.17.255.5 172.17.255.6
  
  
  

• Частично настроил iptables

  iiptables -n -t filter -L
  Chain INPUT (policy DROP)
  target     prot opt source               destination         
  ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
  ACCEPT     tcp  --  192.168.1.0/24       192.168.1.23        tcp dpt:8000 
  ACCEPT     tcp  --  0.0.0.0/0            192.168.1.23        tcp dpt:22 
  ACCEPT     tcp  --  0.0.0.0/0            192.168.1.23        tcp dpt:1194 
  ACCEPT     tcp  --  0.0.0.0/0            172.17.255.0/24     tcp dpt:5900 
  
  Chain FORWARD (policy DROP)
  target     prot opt source               destination         
  ACCEPT     all  --  172.17.255.0/24      0.0.0.0/0           
  ACCEPT     all  --  0.0.0.0/0            172.17.255.0/24     state RELATED,ESTABLISHED 
  ACCEPT     all  --  192.168.1.0          0.0.0.0/0           
  ACCEPT     all  --  0.0.0.0/0            192.168.1.0         state RELATED,ESTABLISHED 
  
  Chain OUTPUT (policy ACCEPT)
  target     prot opt source               destination
  
  -------------------------------------------------------------------
  
  sudo iptables -n -t nat -L
  Chain PREROUTING (policy ACCEPT)
  target     prot opt source               destination         
  
  Chain POSTROUTING (policy ACCEPT)
  target     prot opt source               destination         
  SNAT       all  --  172.17.255.0/24      0.0.0.0/0           to:192.168.1.23 
  
  Chain OUTPUT (policy ACCEPT)
  target     prot opt source               destination 
  

Сейчас все клиенты нормально подключаются, пинг между клиентами и на сервер проходит. Вопрос: что добавить/изменить в iptables, чтобы заблокировать весь трафик между клиентами, кроме как на порт 5900 от администратора к клиенту? Клиенты не должны иметь возможность подключения друг к другу на порт TightVNC.

Помогите, пожалуйста, разобраться.

Сабж. Искал по форуму, нашёл несколько довольно старых тем, почитал про устройства. В основном всем нужен роутер без ADSL, мне же — наоборот. Особенно интересен личный опыт.

Требования к устройству:

• Класс - SOHO.
• Стабильная работа при больших нагрузках. Провайдер предоставляет канал 4 мегабита на вход и 1 мегабит на выход, используемый мной практически на 100% в режиме 24/7 - на отдельной машине крутится rtorrent c ~150 активными торрентами.
• Гигабитный LAN (минимум 4 порта).
• Линукс на борту, доступ по ssh. Возможность заливки сторонних прошивок не обязательна, но было бы неплохо.
• Возможность отправки логов на удалённый хост.

Сейчас стоит D-Link DSL-2640U, работает очень нестабильно, постоянно роняет PPP-сессию (прошивка последняя от производителя). Раньше ещё грелся как утюг, после установки нормальных радиаторов на всё, что можно (и, как результат, замены фабричного корпуса на самодельный, повместительнее) греется меньше, но на стабильность работы это почти не повлияло.

Ах, да, стоимость — до 8000.

Есть внешний жёсткий диск на 1.3 терабайта. Хочу использовать для бэкапа польовательских данных (документы, медиафайлы, настройки, и прочее). Какую файловую систему порекомендуете? Безопасно ли будет использовать ФС без журнала (ext2)? Устройство примонтировано постоянно, бэкап будет выполняться в автоматическом режиме раз в неделю, ИБП есть. Использоваться будет только под Линуксом.

Не далее как сегодня пользователь leinir выложил сперва на kde-look, а теперь и на kde-apps приложение под названием myawesomeapp. На kde-look уже закрыли, а на kde-apps ещё висит. Интересно, что это?

Распаковав rpm, я обнаружил внутри бинарник, помещаемый в /usr/bin.

При этом команда

rpm -pq --scripts <rpmname>