У меня есть 3 автономных сервера CentOS на одном хостинг-провайдере. Хостинговая компания не может предложить мне межсетевой экран для этих устройств, только iptables. Поэтому я хочу купить еще один сервер и сделать этот сервер брандмауэром (и некоторыми инструментами мониторинга, такими как Snort) для первых трех серверов, которые у меня уже есть. У меня нет частного IP ни на одном сервере, они не в частной сети. Можно ли направлять весь трафик через «сервер межсетевого экрана», если они не находятся в частной сети?
Public vs private здесь не имеет значения, вы можете использовать любой из них. Однако я думаю, вы обнаружите, что очень сложно реализовать то, что вы ищете, не помещая существующие серверы в выделенную подсеть, частную или общедоступную, для которой новый сервер / FW действует как шлюз, потому что это наиболее естественный способ заставить трафик систематически проходить через брандмауэр.
Проблема в том, что если что-то еще действует как шлюз перед подсетью, содержащей 3 сервера и брандмауэр, сложно настроить это «что-то еще», чтобы сначала отправлять трафик на брандмауэр, когда он имеет прямой доступ к 3-м серверам. серверов через подключенную сеть.
Это может быть сделано с помощью межсетевого экрана. Мне пришлось сделать это в старом рабочем центре, где нашему отделу не разрешалось создавать частную сеть, поэтому я установил межсетевой экран (linux iptables и промежуточное программное обеспечение) между каналом за пределами нашей сети и всем, что внутри. Для этого нужно проделать несколько дополнительных трюков, но это работает.
Вот одна ссылка, которая кажется довольно точной. Впрочем, я давно этим не занимался (по крайней мере, 10 лет).