У меня есть 6 узлов, которые имеют доступ в Интернет на eth1 и частный доступ друг к другу на eth0. В настоящее время у меня есть правила брандмауэра для eth0, для таких вещей, как memcached и NFS. Это необходимо? Это настоящая головная боль, поскольку NFS, например, обменивается данными с множеством разных портов, и я недавно представил glusterfs, которым нужно еще больше. Стоит ли выяснять, какие внутренние порты разблокировать усиление безопасности?
Я должен упомянуть, что у меня, конечно, все еще будет правило брандмауэра на eth0 для блокировки серверов, принадлежащих другим лицам в том же центре обработки данных.
Спасибо
Я согласен, это боль. Вы можете обойтись без (пока вы все еще блокируете все остальное на eth0, что вы уже указали).
Единственный риск: если 1 из ваших 6 серверов будет скомпрометирован, «плохому парню» будет легче попасть на остальные 5.
Они, вероятно, работают под той же ОС с той же уязвимостью, что и первый сервер, поэтому злоумышленник, вероятно, также сможет скомпрометировать их через eth1.
Но если эти 6 серверов представляют собой разные ОС или имеют разные сервисы, доступные на eth1, то дополнительная прошивка на eth0 может предотвратить доступ злоумышленника к другим 5 серверам.
Независимо от того, какой выбор вы сделаете: я очень надеюсь, что у вас есть разные учетные записи / пароли для этих машин. Вероятно, у вас все равно включен SSH на eth0. Если злоумышленник получает учетную запись на 1, он может просто перейти по ssh в следующее поле, если они такие же. Иногда хорошая идея - аутентификация по идентификатору пользователя / паролю поверх аутентификации на основе ключей.
Если каждому серверу разрешено связываться со всеми остальными серверами на каждом открытом порту, то брандмауэры фактически ничего не делают, и вы также можете использовать бланкетный прием. Если есть какой-то внутренний трафик, который не разрешен, то это зависит от последствий обхода этих ограничений по сравнению с усилиями управления.
Открытие портов для NFS и glusterfs не должно быть головной болью.
Glusterfs использует множество портов, но это известный и конечный список, поэтому его можно создавать сценариями. NFS можно настроить для использования определенных портов (в /etc/sysconfig/nfs на RHEL и подобных серверах NFS), а не случайными.