В моем офисе у нас есть две отдельные интернет-линии. Один предназначен для общего офисного Интернета, а другой - это выделенная линия для веб-сервера. Я пытался подключить выделенный к нашему коммутатору с помощью vlan, чтобы я мог получить доступ к веб-серверу через нашу локальную сеть вместо того, чтобы выходить в Интернет и обратно, но мне не удалось заставить его работать.
Я подумал, что если бы у меня была выделенная линия и порты веб-сервера на vlan и пометил порт веб-сервера на обоих vlan, он должен работать. Я попытался предоставить веб-серверу второй IP-адрес в другой подсети, 192.168.2.x, чем в локальной сети (это более безопасно?), И дал корпоративному серверу IP-адрес и там, и это не сработало (для этого все еще требуется статический маршрут ??), поэтому я поместил его в ту же подсеть (1.x), а затем я мог получить к нему доступ локально, но он больше не использовал свой первый статический IP-адрес и, следовательно, больше не был в сети. Я попытался переместить порт веб-сервера обратно в первый vlan (локальный) и оставить его помеченным в обоих vlan, но это тоже не сработало.
Я пытаюсь сделать это правильно? Должен ли я беспокоиться о безопасности при таком подключении?
Спасибо за любую помощь. отметка
Вы не указали, как / если выполняется NAT, или если вы просто MIP / полностью переводите статический IP-адрес на выделенный или ...
Ну, примерно так я бы это сделал (прокрутите вниз, чтобы увидеть схему ASCII love <3)
.-,( ),-.
.-( )-.
( teh internets )
'-( ).-'
.-----'-.( ).-'----.
| |
| |
__v___ __v___
LAN Line |_ooo_x| |_ooo_x| Dedicated Server Line
| |
| |
[69.70.2xx.21] [75.120.1xx.37]
| |
| |
| |
'-->eth0 eth1<--'
............................. _*______*_ ...........................
. .-------eth2*.[_...__...o]*eth3 -------. .
. | . ROUTER/SW . | .
. | . . | .
. [192.168.1.0/24] . . [172.16.32.0/24] .
. | . . | .
. | . . | .
. v . . | .
. ____ __ . . | .
. | | |==| . . | .
. |____| | | . . | .
. /::::/ |__| . . | ____ .
. ____ __ ____ __ . . v |====| .
. | | |==| | | |==| . . eth0*| | .
. |____| | | |____| | | . . | | .
. /::::/ |__| /::::/ |__| . . |____| .
. . . .
. Local Network . . Web Server .
............................. ...........................
[vlan1 - LAN] [vlan2 - DMZ]
.----------------------------------------------.
| Abstract Routing/Vlan device Config |
| |
| 192.168.1.0/24 => NAT on 69.70.2xx.21 |
| |
| Full NAT/Mapping: |
| 75.120.1xx.37 => MAP to 172.16.32.X [Server] |
| 172.16.32.X => NAT on 75.120.1xx.37 |
| |
| Route LAN => DMZ traffic |
| 192.168.1.0/24 => 172.16.32.0/24 |
| (filtered, ex: TCP DST 22/80/443) |
| |
| Deny outbound DMZ => LAN traffic: |
| 172.16.32.0/24 =>X 192.168.1.0/24 [DENY] |
| (except related) |
'----------------------------------------------'
Обратите внимание, что вы можете заменить порты на VLAN и заменить мифическое устройство, подобное маршрутизатору, в этой схеме комбинацией из нескольких маршрутизаторов / устройств NAT и коммутаторов / VLAN. Но это общая идея. Я бы, вероятно, выбрал отображение / полный NAT вместо добавления дополнительной сетевой карты к веб-серверу для маршрутизации обратно в локальную сеть.
Фильтрация трафика также хороша - разрешает / some / доступ к DMZ из вашей локальной сети, которая является всей точкой, и предотвращает прямой доступ веб-сервера к вашей LAN. Полезно, в случае взлома.
Возможные альтернативы мифическому роутероподобному устройству:
.---------------------------.
| Multiple NAT Devices |
| (Requires Router Switch, |
| or extra Router) |
'---------------------------' .-,( ),-.
.-----------------------> .-( )-.
| .--->( interwebs )
69.70.2xx.21 | '-( ).-'
| 75.120.1xx.37 '-.( ).-'
| |
__________ __________
.->|____oooo_x| |____oooo_x|<---.
| LAN Line Server Line |
| (NAT) (NAT) |
| |
**|**************** ******************|
192.168.1.0/24 __Managed Switch____ 172.16.32.0/24
* '--------[_::::::::::::::::::x]--------'
* ^ * * ^ *
* | * * | *
*LAN VLAN****|***** ******|**DMZ VLAN*
| |
| __________ |
'-[_...__...x]--'
route/filtering
192.168.1.0/24 <=> 172.16.32.0/24
Этот сценарий подразумевает, что машины в каждой VLAN имеют маршрут для подсети друг друга, и каждое устройство NAT VLAN является их соответствующим шлюзом по умолчанию.
Или, если у вас действительно есть «настоящее» пограничное устройство (что было бы очень хорошо):
.---------------------------.
| Simple NAT Device |
| + ASA/Edge Firewall |
'---------------------------'
.-,( ),-.
.-----------------------> .-( )-.
| ( interwebs )
69.70.2xx.21 '-( ).-'
| '-.( ).-'
______ ^
.--->|_ooo_x| .--------'
| LAN Line |
| (Office NAT) 75.120.1xx.37
| |
192.168.1.0/24 |
| _[Out Int.]_____
******|************* [_...________...x][DMZ Int.]
* ___|__________ * ^ [In Int.] |
* [_::::::::::::x] * / | ************|*******
* Switch ^ * / | * 172.16.32.0/24
* '-------192.168.1.0/24----' * _ | *
* * / * |=| | *
*LAN VLAN*********** / * |_| v *
/ * Web Server *
.--------------------------------------. * *
. route/filtering . ***********DMZ VLAN*
. on Edge FW, between In and DMZ .
. 192.168.1.0/24 <=> 172.16.32.0/24 .
. (Previous pseudo-rules/routes apply) .
'--------------------------------------'
Или, если ваш сервер действительно напрямую подключен без NAT вообще (лучше, чтобы эта фильтрация работала на нем):
.------------------------------------------------------.
| Single Office NAT + |
| Server w/ Direct, Routable IP |
| (Requires second NIC, and a lot of manual, |
| separate, OS-specific filtering done on the server) |
'------------------------------------------------------'
.-,( ),-.
.-----------------------> .-( )-.
| ( interwebs )
69.70.2xx.21 '-( ).-'
| '-.( ).-'
______ |
.----->|_ooo_x| |
| LAN Line |
| (Office NAT) 75.120.1xx.37
| |
192.168.1.0/24 |
| |
******|************* v
* ___|__________ * eth0
* [_::::::::::::x] * __
* Switch ^ * _______ |==|
* '--192.168.1.0/24--|___|___|---eth1| |
* * |_|___|_| |__|
*LAN VLAN*********** Firewall Web Server
(On server)
.--------------------------------------------------------------------.
. "pseudo DMZ" enforced by fw rules on Server. .
. No routing required. Defeats the entire point, too. .
. Attacker on Server can potentially alter ruleset and poke at LAN. .
'--------------------------------------------------------------------'
Однако это не очень хорошо с точки зрения безопасности. Смело комбинируйте сценарии. Если вам нужна более подробная информация, не стесняйтесь спрашивать тоже :)
Надеюсь, это поможет. Кроме того, прошло некоторое время с тех пор, как я рисовал графики ASCII. Здесь было очень весело: D
Если ваш веб-сервер имеет два порта Ethernet (в настоящее время большинство серверов имеют), то я бы создал новую виртуальную локальную сеть "DMZ" на вашем коммутаторе, поместил в него второй порт веб-сервера, настроил его на маршрутизаторе (соединение между маршрутизатором и коммутатором должен быть магистралью VLAN) и на офисном маршрутизаторе настроить статический маршрут к общедоступному веб-IP через веб-IP-адрес DMZ, а на веб-сервере - статический маршрут к офисной сети через DMZ-IP маршрутизатора.