запущен сервер ubuntu 10.04. Этот ящик является одновременно веб-сервером (apache2) и vpn (openvpn). Вот как сейчас настроена сеть.
router 192.168.1.1
|
|
LAN
|
|
ubuntu server 192.168.1.2
NAS file serverA 192.168.1.3
NAS file serverB 192.168.1.4
20 workstations 192.168.1.50/70
Базовая конфигурация, все рабочие станции И сервер ubuntu находятся за межсетевым экраном маршрутизатора. Порт 80 для веб-сервера и 1200 для VPN-сервера перенаправляются с маршрутизатора на сервер ubuntu.
Я читал, как разумно поместить веб-сервер в демилитаризованную зону, чтобы в случае взлома вы могли ограничить сопутствующий ущерб и изолировать свою локальную сеть от атаки. Однако как бы вы это сделали на многоцелевом сервере?
Можете ли вы сделать что-то подобное с несколькими сетевыми адаптерами и двумя маршрутизаторами?
router 192.168.1.1
|
|
LAN
|
|---WAN port----router 192.168.2.1
| |
| LAN
| |
| ubuntu server (apache2 nic) 192.168.2.2
|
ubuntu server (vpn nic) 192.168.1.2
NAS file serverA 192.168.1.3
NAS file serverB 192.168.1.4
20 workstations 192.168.1.50/70
любые предложения приветствуются!
Конструкция с несколькими маршрутизаторами / сетевыми адаптерами, которые у вас есть, не принесет вам никакой пользы, если один и тот же сервер находится на обоих, и нет никакого разделения между вашей системой и apache. Если сервер Apache каким-то образом скомпрометирован, у них будет доступ к самой системе, которая имеет доступ к остальной части сети через другую сетевую карту.
У вас есть два варианта:
1) Запустите apache внутри виртуальной машины на сервере ubuntu и привяжите сеть виртуальной машины только к сетевому адаптеру DMZ.
2) Запустите apache на отдельной машине, подключенной только к DMZ.