VPN? Или не VPN?
 

Задача несколько не стандартная (на мой взгляд :) )

Есть сетка. Есть шлюз со статических внешним адресом на ASPLinux 10 (2.6.9). iptables, NAT. Правила настроены так, что соединение поднять можно только из сетки. Установка внешних соединений запрещена.

Возникла необходимость пустить из инета человека:
1. с конкретного IP
2. по конкретному порту (портам)
3. к конкретной машине в сети. (не сервер. Сейчас стоит ХР, если надо изменить на 2003 - реально, но только эти две оси)
Вся остальная сетка - под запретом!
т.е. дать возможность внешнему пользователю запускать одну! программу на внутренней машине.
Само собой нужна аутентификация. Про шифрование не знаю, не думал еще. Лишним не будет, но... Сжатие траффика? Тоже не лишнее.

Т.е. ситуация, как с дипломатами. Не пустить права не имею, но точно знаю, что шпион :)

Что по ту сторону баррикад - не знаю, да и не мое это дело. Если надо будет что-то устанавливать, установят, никуда не денутся.

Так вот вопрос. "Что делать?"
Поднимать VPN на внутренней машине? Как достучаться через шлюз? PREROUTING? Прийдется бороться за безопасность на этой машине. ZEBEDEE?
Кто-нибудь сталкивался с подобными задачами? Куда рыть? хотя бы концептуально?

DNAT


клиент будет заходить через RDP я так понимаю???

Аутентификация? Прям на внутренней машине? Как-то боязно просто пускать с IP без логина-пароля! Спуфинг "аднака"

Скорее нет, чем да. Там клиент-сервер. сделанный настолько через... В общем, клиент-сервер :)
(задумчиво) Мне еще этого счастья не хватало!

Можно немного извратиться :) :

1. Подымаем на шлюзе VPN (MPPE + MPPC - шифрование и компрессия) - это аутентификация
2. в /etc/ppp/ip-up настраиваем соответсвующие правила для соответствующего Ip - это перенаправление

сам так работаю и не жалуюсь :)