Есть ли способ, которым я могу сегментировать свою виртуальную машину из локальной сети, но при этом сделать ее доступной для внешних пользователей? Я пытаюсь достичь чего-то типа VPS, но я не уверен, как это делают хостинговые компании.
Задний план: В настоящее время я пытаюсь расширить свои знания о безопасности UNIX, и я подумал, что может быть лучше, чем выдать учетные записи SSH и посмотреть, что люди могут взломать? В домашних каталогах этих пользователей также будет папка public_html, к которой они могут получить доступ из Интернета (http: // site / ~ имя пользователя). Сложная вещь - сегментировать это из моей локальной сети. Если я использую сеть только для хоста, никто не сможет до нее добраться. Если я настрою его на мостовую сеть, все будет хорошо, за исключением того факта, что этот ящик может:
Есть ли способ поместить его в собственную «виртуализированную VLAN»? Я имею в виду, я мог бы заставить его использовать один из моих физических сетевых адаптеров и подключить этот шнур к коммутатору, но мне не хочется тратить деньги на коммутатор с возможностями VLAN на что-то временное. Та же идея относится к брандмауэру, помещающему его в DMZ, если, конечно, нет программного способа сделать это. В моем текущем модеме DSL есть функция DMZ для помещения одного компьютера в DMZ, но мой веб-сервер уже занимает это (и действительно ли функция DMZ модема сегментирует машину или просто делает ее общедоступной?)
Я буду внимательно следить за системой на предмет злоупотреблений. cURL и wget были удалены, и я использую trickle, чтобы ограничить пропускную способность коробки до 20 Кбит / с.
Я, вероятно, упускаю очевидный ответ здесь, кто-нибудь, пожалуйста, просветите меня.
Вам нужно использовать для этого вашу виртуальную инфраструктуру? Похоже на старую / взятую в аренду рабочую станцию с <insert_linux_distro_of_choice_here> Бег iptables отлично подойдет как веб-сервер для размещения этих сайтов; когда вы закончите, вы можете просто отформатировать его в Windows или чем-то еще и снова использовать в качестве рабочей станции.
Что касается вашего текущего оборудования, сколько интерфейсов у вашего модема / маршрутизатора DSL? Возможно, вы сможете настроить на нем отдельный интерфейс LAN, но я предполагаю, что нет, если это просто что-то, пришедшее от вашего провайдера; возможно, если вы разместите марку / модель нет. мы можем сказать вам точно.
Независимо от веб-хостинга, найдите настоящего специалиста по брандмауэрам: pfSense отлично подходит для рабочих станций с двумя сетевыми адаптерами и бесплатно предоставляет вам «корпоративные» функции (например, VPN, IDS, Squid и т. Д.).
С помощью pfSense вы также можете настроить VLAN на любом интерфейсе, чтобы получить настоящую настройку DMZ, которая изолирована от вашей локальной сети, но все еще находится за брандмауэром с любыми правилами фильтрации пакетов, которые вам нужны (разрешить входящий TCP 80, запретить все).
Функция DMZ маршрутизатора, вероятно, делает все порты на сервере общедоступными. Вам следует подумать об использовании функции DNAT, если она у вас есть. Вы должны изолировать свой виртуальный сервер в отдельной виртуальной сети. Если вы используете Linux, вы можете использовать IP-таблицы для изоляции вашего сервера. Это также может регистрировать все попытки доступа к портам и / или хостам, к которым вы не хотите, чтобы люди получали доступ. (например, самба, роутер и т. д.). Я считаю, что Shorewall упрощает настройку iptables в подобных случаях.