Permiteți accesul la VM la distanță cu Postgres numai din acces VPN

Îmi lipsesc cunoștințele despre VPN-uri. Este dat o VM la distanță cu Postgresql. Serverul are un IP public.

Este (și dacă cum) este posibil să:

• Nivelul bazei de date: permiteți conexiunile la postgres (pg_hba.conf) numai dacă utilizatorul are VPN-ul companiei activat (<- cum poate fi identificat?)
• Nivel de server: închideți IP-ul public, dar permiteți accesul la server dacă utilizatorul se află în VPN? (Are sens asta?)

Sunt și mai nedumerit cu cât VM-ul de la distanță nu are nimic de făcut cu rețeaua companiei. Mulțumesc pentru fiecare direcție!

Destul de posibil.

Nivelul bazei de date: permiteți conexiunile la postgres (pg_hba.conf) numai dacă utilizatorul are VPN-ul companiei activat (<- cum poate fi identificat?)

Destul de simplu - adăugați o linie care să se potrivească atât cu anumite baze de date, cât și cu prefixul IP VPN de la care se conectează utilizatorul.

Nivel server: închideți IP-ul public, dar permiteți accesul la server dacă utilizatorul se află în VPN? (Are sens asta?)

Cu siguranță o face. Aceeași abordare, dar diferită (inferioară) Modelul OSI strat: filtrați orice conexiuni din lumea exterioară la tcp/5432 (aplicați regulile de filtrare la interfețele exterioare de pe server, dacă are mai multe) și permiteți numai conexiuni din prefixul VPN.

Pentru a impune și mai mult securitatea, faceți ca instanța PostgreSQL să se lege doar de anumite interfețe (dacă serverul are mai multe) în postgresql.conf folosind listen_addresses directivă (specificați adrese specifice în loc de *).