Encaminhamento de porta baseado em domínio com roteamento VLAN [closed]

3

No meu novo espaço de trabalho, desejo configurar uma rede que me permita implantar meu trabalho de desenvolvimento da Web em servidores Dev, Test e Accept (VMs) com acesso (controlado) de fora da rede - com base em domínios diferentes (vários sites) . Também quero ter acesso remoto à minha rede através de VPN.

No entanto, o desafio é que nós compartilhamos a rede interna e eu não conseguirei controlar o roteador / firewall (a rede é gerenciada por uma parte externa). Um pedido ilustrado e bem explicado é o que eles precisam para aplicar uma nova configuração.

Tenho conhecimento limitado de redes, mas a pesquisa me convenceu de que a configuração da minha rede deveria ser possível. Alguém pode confirmar / comentar minhas idéias com relação à viabilidade / melhores práticas?

  1. O prédio com o meu espaço de trabalho possui uma conexão de fibra (FTTO) com o IP público 176.xx.xx.xxx. O tráfego de rede é controlado no firewall Juniper SSG20 (que não posso controlar, mas tem uma interface web pública em execução na porta 80). A rede interna possui o intervalo 192.168.30.0/24.
  2. Eu tenho um switch Netgear Prosafe GS105E com suporte a VLAN.
  3. Eu tenho um servidor Dell com servidor Hypervisor do VMware vSphere (ESXi) com 5 VMs (executando o Ubuntu 12.04 SRV):
    • (A) VM: Servidor de arquivos (somente acesso interno para minha estação de trabalho local (E)
    • (B) VM: servidor da Web (Dev) deve manipular dev.domain-1.com
    • (C) VM: o servidor da Web (teste) deve lidar com test.domain-1.com
    • (D) VM: O servidor da Web (Aceitar) deve manipular accept.domain-1.com
    • O Dell Server tem 3 NICs, posso criar comutadores virtuais para lidar com roteamento de VLAN.
  4. Eu tenho uma impressora multifuncional (F) com inferface eth0 que só deve estar acessível para mim dentro de uma VLAN.
  5. O Apple Airport existente também oferece acesso Wi-Fi na mesma sub-rede, mas posso ocultar minhas VMs para que elas não possam ser acessadas por outras pessoas no prédio (eu acho que a configuração da VLAN).

Em essência, meu objetivo é:

  • encaminhamento de porta (80, 443, 5000, 8080) com base no domínio
  • dev.domain-a.com - > 192.168.1.10 (VM: B)
  • dev.domain-b.com - > "" "" "
  • test.domain-a.com - > 192.168.1.11 (VM: C)
  • test.domain-b.com - > "" "" "
  • accept.domain-a.com - > 192.168.1.12 (VM: D)
  • limita o acesso ao servidor de arquivos (VM: A) apenas da estação de trabalho local
  • conseguir acessar a rede (e o servidor de arquivos) por meio da VPN

Questões relevantes:

  • Preciso configurar um proxy reverso em uma nova VM do ESXi para poder resolver as máquinas locais de fora (e quanto ao servidor Proxy Reverso da Libra no Ubuntu)?
  • O Firewall Juniper SSG20 precisa adicionar meus servidores locais / VLAN a uma DMZ?
  • Como o Firewall Juniper SSG20 ainda pode ter acesso à web (porta 80) se eu quiser ter o encaminhamento de porta para a porta 80? Eu tenho que adicionar uma regra no Proxy Reverso que redireciona o tráfego de volta para o firewall?

Qualquer pensamento seria muito, muito útil para que eu possa formular a solicitação para a parte externa da gerência de rede (através do gerente da propriedade).

Por favor, veja o diagrama do layout da rede:

    
por Cyppher 22.07.2013 / 14:44

1 resposta

2

Do I have to configure a Reverse Proxy at a new ESXi VM to be able to resolve the local machines from outside (how about Pound Reverse Proxy server on Ubuntu)?

Nenhum proxy reverso é necessário com base na sua lista de requisitos / metas. Tudo o que você realmente precisa são IPs dedicados à Internet / WAN e algumas regras básicas de NAT / MIP na configuração do SSG20. Você pode bloquear este acesso através de regras de firewall no SSG20 se quiser (como quais IPs de clientes podem entrar, etc.)

Does the Juniper SSG20 Firewall need to add my local servers / VLAN to a DMZ?

Não, mas você precisa ter endereços IP externos MÚLTIPLOS disponíveis para fazer o NAT direto (no Juniper, seria um NAT estático, que eles chamam de MIP / mappedIP). Nesse cenário, você teria um único IP externo para cada VM interna (dev / test / accept) para fazer facilmente traduções externas a internas.

Caso contrário, você precisará do PAT ou do que o Juniper chama VIP no SSG e ouvir em portas diferentes. Ou seja, se você quisesse apenas um único IP externo, precisaria fazer algo como a porta normal de escuta no dev e depois incrementar algo como 81/444/5001/8081 para teste e assim por diante. Em seguida, no SSG20 seria mapear externalIP: 81 para 192.168.1.11:80 mas isso é realmente um PITA vs apenas recebendo alguns IPs externos adicionais do provedor.

How can the Juniper SSG20 Firewall still have web access (port 80) if I want to have port forwarding for port 80?

Estou assumindo que você quer dizer acesso externo ao adminui do SSG20? Pessoalmente, isso não deve ser aberto de qualquer maneira ... buraco de segurança especialmente sobre apenas http. O administrador / responsável deve bloqueá-lo em uma porta de escuta diferente sobre https e limitá-lo aos intervalos de IP do cliente de entrada. Mas, novamente, volto para Vários IPs externos . Se você tiver IPs dedicados para suas VMs, ainda poderá (embora não seja recomendado) deixá-los manter o IP de WAN externo normal e a porta 80 abertos no Juniper SSG20.

Do I have to add a rule into the Reverse Proxy that redirects traffic back to the firewall?

Não, isso é desnecessário. Tudo o que você precisa é garantir que as VMs possam direcionar para o Juniper (tráfego normal da Internet). Se eles já podem, então eles estão prontos. Você nem precisa se interessar pela rede vmware, a menos que você exija que cada VM seja segmentada e não possa enviar tráfego uma para a outra, mas você pode fazer isso dentro do sistema operacional da VM com a mesma facilidade.

    
por 22.07.2013 / 15:17