Я пришел к вам из Stack Overflow с миром. Мой опыт находится в стадии разработки, и я разбираюсь только в основах работы с сетями, поэтому, пожалуйста, говорите в терминах неспециалистов. С учетом сказанного, я собираюсь нанять разработчика, который удаленно подключится к моему домашнему серверу и займется разработкой. Есть несколько причин, по которым я хочу, чтобы разработчик работал на моей машине удаленно, а не на своей, но пока я передам эти детали.
Вот что у меня есть на данный момент:
Итак, в основном моя идея для наемного разработчика:
Как звучит эта установка? Я уверен, что необходимо выполнить дополнительные настройки самой виртуальной машины, потому что я хочу изолировать ее от остальной сети. Любые советы или указатели были бы очень полезны.
Спасибо!
В несколько актуальном вопросе Вот казалось, что мы согласились с тем, что у нас нет веских причин для беспокойства по поводу того, что хозяин будет слишком уязвим для гостей.
Было бы неплохо (если возможно, хотя это кажется маловероятным), если бы ваш разработчик мог выполнять свою работу на виртуальной машине, изолированной от локальной сети. После этого вы можете изменить сетевые свойства виртуальной машины, чтобы подключиться к локальной сети для проверки кода или чего-то еще.
Похоже, у вас есть основы. Я бы отметил лишь несколько моментов:
Решите, использовать ли для VPN PPTP или IPSEC, но не оба сразу. Что бы вы ни выбрали, закройте другой порт (1723 или 500).
Поймите, что ваш сервер (и внутренняя сеть) довольно защищены от неизвестных злоумышленников с вашей настройкой, но, позволяя разработчику войти, вы даете ему или ей карт-бланш. Вы доверяете этому человеку? Будут ли какие-либо соглашения о неразглашении, отказ от прав, оговорка о недопустимости ущерба и т. Д.?
Другой вариант - предоставить ему доступ к вашей виртуальной машине через GotoMyPC или Fog Creek Copilot.
Это избавит вас от хлопот с настройкой сети.
Если пользователь работает с доступом ко всему внутри вашей сети, возникает угроза безопасности.
Я не знаю, как вы планируете настройку с разработчиком, но вы, очевидно, планируете потребовать какой-то доступ к VPN ... будет ли он настроен с ними заранее, потребуется ли им специальное программное обеспечение, или...?
Одна вещь, которую мы использовали, - это просто прямой RDP из Интернета в систему. Просто потребуется открыть порт, и он уже зашифрован. Может упростить настройку для вас и вашего нового неизвестного сотрудника.
Я бы попробовал посмотреть, сможете ли вы получить (или иметь) маршрутизатор, поддерживающий создание DMZ. Это означает, что у вас будет по существу одна сеть с адресами, например, 192.168.1.x, затем другая сеть 192.168.254.x, и вы можете сохранить свою систему (системы) на стороне 192.168.254.x, а вашу разработчик может работать на машинах в 192.168.1.x. Две сети могут быть полностью разделены, и его система, в которой он находится, никогда не будет видеть трафик из ваших систем, и наоборот, немного изолируя его. Это было бы более безопасно, чем большинство других обручей, которые я мог бы предложить.
Я видел выходящие маршрутизаторы, поддерживающие такого рода функции, но было бы сложно установить его с чем-то вроде маршрутизатора Linux (плюс вам понадобится дешевая машина с тремя сетевыми картами, если у вас нет чего-то вроде это уже). Загрузочный дистрибутив, такой как Smoothwall, может уже поддерживать подобные функции.
На мой взгляд, лучшей защитой, не доставляющей слишком много неудобств нанятому консультанту, была бы изоляция сетей, возможно, добавление системы Linux (или чего-то вроде Smoothwall) для обработки некоторой маршрутизации, чтобы все можно было контролировать.