Я системный администратор в небольшой компании и имею то, что я бы назвал умеренным пониманием сетей. Я пытаюсь создать ситуацию, в которой несколько внутренних хостов доступны через RDP из Интернета, но не могут связываться ни с офисной сетью, ни друг с другом. Все будут использовать один общедоступный IP-адрес, поэтому пользователи, подключающиеся из Интернета, будут добавлять номер порта в клиенте подключения к удаленному рабочему столу, чтобы подключиться к одному из этих хостов. Хосты будут виртуальными машинами на ESXi.
Сделав несколько начальных поисков в Google, я провел день, играя с Vyatta, и очень впечатлен им (в частности, я считаю его документацию превосходной). Однако я понимаю, что моя проблема не в понимании конкретных концепций или выполнении инструкций; Дело в том, что я не совсем понимаю, какие сетевые технологии и топологию мне следует использовать. Я полагаю, есть несколько возможностей. Я слышал много упоминаний о VLAN.
Я должен добавить, что у нас есть межсетевой экран среднего уровня для малого бизнеса и что при необходимости мы можем назначить один из его портов собственным интерфейсом, который передает трафик исключительно между глобальной сетью и резервным физическим сетевым адаптером на хосте ESXi.
Итак, мой вопрос: какие технологии и топологию вы считаете наиболее подходящими для создания описанной мной ситуации? Напомним, мне нужно несколько внутренних виртуальных машин, которые изолированы как друг от друга, так и от остальной части нашей офисной сети, но могут быть подключены из Интернета через RDP (на одном общедоступном IP-адресе, но с уникальными номерами портов).
Спасибо заранее.
Вы можете использовать VLAN и настроить каждый хост в своей частной (RFC 1918) / 30 сети, я предполагаю, что Vyatta может обрабатывать несколько сетей NAT за ним. Тогда каждая машина должна будет пройти через маршрутизатор (вероятно, Vyatta), чтобы разговаривать с внешним миром и с любой другой машиной. Вы сможете легко настроить правила брандмауэра, и сами по себе машины будут изолированы и не смогут напрямую подключаться ни к чему, кроме маршрутизатора.