Назад | Перейти на главную страницу

Как разрешить доступ в локальной сети ко второй выделенной линии веб-сервера?

В моем офисе у нас есть две отдельные интернет-линии. Один предназначен для общего офисного Интернета, а другой - это выделенная линия для веб-сервера. Я пытался подключить выделенный к нашему коммутатору с помощью vlan, чтобы я мог получить доступ к веб-серверу через нашу локальную сеть вместо того, чтобы выходить в Интернет и обратно, но мне не удалось заставить его работать.

Я подумал, что если бы у меня была выделенная линия и порты веб-сервера на vlan и пометил порт веб-сервера на обоих vlan, он должен работать. Я попытался предоставить веб-серверу второй IP-адрес в другой подсети, 192.168.2.x, чем в локальной сети (это более безопасно?), И дал корпоративному серверу IP-адрес и там, и это не сработало (для этого все еще требуется статический маршрут ??), поэтому я поместил его в ту же подсеть (1.x), а затем я мог получить к нему доступ локально, но он больше не использовал свой первый статический IP-адрес и, следовательно, больше не был в сети. Я попытался переместить порт веб-сервера обратно в первый vlan (локальный) и оставить его помеченным в обоих vlan, но это тоже не сработало.

Я пытаюсь сделать это правильно? Должен ли я беспокоиться о безопасности при таком подключении?

Спасибо за любую помощь. отметка

Вы не указали, как / если выполняется NAT, или если вы просто MIP / полностью переводите статический IP-адрес на выделенный или ...

Ну, примерно так я бы это сделал (прокрутите вниз, чтобы увидеть схему ASCII love <3)

                                   .-,(  ),-.
                                .-(          )-.
                               (  teh internets )
                                '-(          ).-'
                              .-----'-.( ).-'----.
                              |                  |
                              |                  |
                            __v___             __v___
                  LAN Line |_ooo_x|           |_ooo_x| Dedicated Server Line
                              |                  |
                              |                  |
                        [69.70.2xx.21]     [75.120.1xx.37]
                              |                  |
                              |                  |
                              |                  |
                              '-->eth0    eth1<--'
     ............................. _*______*_  ...........................
     .              .-------eth2*.[_...__...o]*eth3 -------.             .
     .              |            . ROUTER/SW   .           |             .
     .              |            .             .           |             .
     .      [192.168.1.0/24]     .             .   [172.16.32.0/24]      .
     .              |            .             .           |             .
     .              |            .             .           |             .
     .              v            .             .           |             .
     .          ____   __        .             .           |             .
     .         |    | |==|       .             .           |             .
     .         |____| |  |       .             .           |             .
     .         /::::/ |__|       .             .           |   ____      .
     .   ____   __    ____   __  .             .           v  |====|     .
     .  |    | |==|  |    | |==| .             .         eth0*|    |     .
     .  |____| |  |  |____| |  | .             .              |    |     .
     .  /::::/ |__|  /::::/ |__| .             .              |____|     .
     .                           .             .                         .
     .       Local Network       .             .            Web Server   .
     .............................             ...........................
            [vlan1 - LAN]                            [vlan2 - DMZ]

                           .----------------------------------------------.
                           | Abstract Routing/Vlan device Config          |
                           |                                              |
                           | 192.168.1.0/24 => NAT on 69.70.2xx.21        |
                           |                                              |
                           | Full NAT/Mapping:                            |
                           | 75.120.1xx.37 => MAP to 172.16.32.X [Server] |
                           | 172.16.32.X => NAT on 75.120.1xx.37          |
                           |                                              |
                           | Route LAN => DMZ traffic                     |
                           | 192.168.1.0/24 => 172.16.32.0/24             |
                           | (filtered, ex: TCP DST 22/80/443)            |
                           |                                              |
                           | Deny outbound DMZ => LAN traffic:            |
                           | 172.16.32.0/24 =>X 192.168.1.0/24 [DENY]     |
                           | (except related)                             |
                           '----------------------------------------------'

Обратите внимание, что вы можете заменить порты на VLAN и заменить мифическое устройство, подобное маршрутизатору, в этой схеме комбинацией из нескольких маршрутизаторов / устройств NAT и коммутаторов / VLAN. Но это общая идея. Я бы, вероятно, выбрал отображение / полный NAT вместо добавления дополнительной сетевой карты к веб-серверу для маршрутизации обратно в локальную сеть.

Фильтрация трафика также хороша - разрешает / some / доступ к DMZ из вашей локальной сети, которая является всей точкой, и предотвращает прямой доступ веб-сервера к вашей LAN. Полезно, в случае взлома.

Возможные альтернативы мифическому роутероподобному устройству:

.---------------------------.
|   Multiple NAT Devices    |
| (Requires Router Switch,  |
|   or extra Router)        |
'---------------------------'                .-,(  ),-.
                .-----------------------> .-(          )-.
                |                   .--->(    interwebs   )
          69.70.2xx.21              |     '-(          ).-'
                |             75.120.1xx.37   '-.( ).-'
                |                   |
           __________          __________
       .->|____oooo_x|        |____oooo_x|<---.
       |    LAN Line           Server Line    |
       |      (NAT)              (NAT)        |
       |                                      |
     **|****************    ******************|
192.168.1.0/24   __Managed Switch____  172.16.32.0/24
     * '--------[_::::::::::::::::::x]--------'
     *            ^    *    *     ^          *
     *            |    *    *     |          *
     *LAN VLAN****|*****    ******|**DMZ VLAN*
                  |               |
                  |  __________   |
                  '-[_...__...x]--'

                   route/filtering
          192.168.1.0/24 <=> 172.16.32.0/24

Этот сценарий подразумевает, что машины в каждой VLAN имеют маршрут для подсети друг друга, и каждое устройство NAT VLAN является их соответствующим шлюзом по умолчанию.

Или, если у вас действительно есть «настоящее» пограничное устройство (что было бы очень хорошо):

.---------------------------.
| Simple NAT Device         |
|    + ASA/Edge Firewall    |
'---------------------------'
                                             .-,(  ),-.
                .-----------------------> .-(          )-.
                |                        (    interwebs   )
          69.70.2xx.21                    '-(          ).-'
                |                             '-.( ).-'
             ______                               ^
       .--->|_ooo_x|                     .--------'
       |    LAN Line                     |
       |  (Office NAT)             75.120.1xx.37
       |                                 |
192.168.1.0/24                           |
       |                           _[Out Int.]_____
 ******|*************             [_...________...x][DMZ Int.]
 *  ___|__________  *             ^ [In Int.]            |
 * [_::::::::::::x] *            /       |   ************|*******
 *     Switch  ^    *           /        |   *     172.16.32.0/24
 *             '-------192.168.1.0/24----'   *      _    |      *
 *                  *         /              *     |=|   |      *
 *LAN VLAN***********        /               *     |_|   v      *
                            /                * Web Server       *
   .--------------------------------------.  *                  *
   .          route/filtering             .  ***********DMZ VLAN*
   .   on Edge FW, between In and DMZ     .
   .  192.168.1.0/24 <=> 172.16.32.0/24   .
   . (Previous pseudo-rules/routes apply) .
   '--------------------------------------'

Или, если ваш сервер действительно напрямую подключен без NAT вообще (лучше, чтобы эта фильтрация работала на нем):

.------------------------------------------------------.
| Single Office NAT +                                  |
|   Server w/ Direct, Routable IP                      |
| (Requires second NIC, and a lot of manual,           |
|  separate, OS-specific filtering done on the server) |
'------------------------------------------------------'
                                              .-,(  ),-.
                 .-----------------------> .-(          )-.
                 |                        (    interwebs   )
           69.70.2xx.21                    '-(          ).-'
                 |                             '-.( ).-'
              ______                               |
      .----->|_ooo_x|                              |
      |      LAN Line                              |
      |    (Office NAT)                      75.120.1xx.37
      |                                            |
 192.168.1.0/24                                    |
      |                                            |
******|*************                               v
*  ___|__________  *                             eth0
* [_::::::::::::x] *                              __
*     Switch  ^    *              _______        |==|
*             '--192.168.1.0/24--|___|___|---eth1|  |
*                  *             |_|___|_|       |__|
*LAN VLAN***********             Firewall     Web Server
                                (On server)

   .--------------------------------------------------------------------.
   .            "pseudo DMZ" enforced by fw rules on Server.            .
   .         No routing required. Defeats the entire point, too.        .
   .  Attacker on Server can potentially alter ruleset and poke at LAN. .
   '--------------------------------------------------------------------'

Однако это не очень хорошо с точки зрения безопасности. Смело комбинируйте сценарии. Если вам нужна более подробная информация, не стесняйтесь спрашивать тоже :)

Надеюсь, это поможет. Кроме того, прошло некоторое время с тех пор, как я рисовал графики ASCII. Здесь было очень весело: D

Если ваш веб-сервер имеет два порта Ethernet (в настоящее время большинство серверов имеют), то я бы создал новую виртуальную локальную сеть "DMZ" на вашем коммутаторе, поместил в него второй порт веб-сервера, настроил его на маршрутизаторе (соединение между маршрутизатором и коммутатором должен быть магистралью VLAN) и на офисном маршрутизаторе настроить статический маршрут к общедоступному веб-IP через веб-IP-адрес DMZ, а на веб-сервере - статический маршрут к офисной сети через DMZ-IP маршрутизатора.