Блокировать трафик на определенные серверы
В моей организации я хотел бы убедиться, что все серверы доступны только изнутри. Единственное исключение - это почта и веб-серверы.
Как лучше всего это сделать?
Мое собственное предложение было блокировать ВСЕ входящий трафик через iptables, кроме почты и веб-трафика (и SSH). Это лучший способ сделать это или есть какие-то лучшие предложения?
Спасибо!
РЕДАКТИРОВАТЬ: Я нашел довольно похожую топологию, как наша: 
Значит, у машин нет IP-адресов, доступных в Интернете, и у вас есть только один IP-адрес? Затем вам нужно будет настроить маршрутизатор / брандмауэр для пересылки желаемого трафика на рассматриваемые машины. Если вы ничего не делаете со своим маршрутизатором / брандмауэром, ваше первое желание будет выполнено: машины доступны только внутри.