Servidor de intranet que não está na internet

Navegue suas respostas
2

Acabamos de comprar uma máquina para servir como nosso servidor de produção interno. Por motivos de segurança, não queremos que esta máquina esteja conectada à internet. No entanto, temos uma intranet com um wiki e todas as estações de trabalho no escritório precisam acessar páginas na nossa intranet. Não vejo como isso poderia ser feito facilmente, porque se o servidor estiver conectado ao roteador, ele estará automaticamente na Internet (até onde eu entendi), e se o servidor não estiver conectado ao roteador, Não sei como as outras estações de trabalho poderiam vê-lo.

Por tudo que eu sei, talvez a idéia de deixar todas as nossas estações de trabalho (que estão conectadas à internet) se conectarem ao servidor derrote o propósito de que o servidor não esteja na internet.

Minha pergunta é: é tão ruim ter nosso servidor conectado a uma máquina que está conectada à internet como seria ter o servidor conectado à própria internet? Se não, existe uma maneira fácil de permitir que todas as estações de trabalho do nosso escritório se conectem ao servidor?

    
por Jason Swett 08.11.2010 / 19:47

8 respostas

6

Isso depende de por que você não quer que ele esteja conectado à Internet. Se você não quiser que o conteúdo navegável por pessoas na Internet seja simples, basta configurar (ou não) o roteador para que ele não direcione as solicitações para o novo servidor.

Se você está preocupado com o fato de ter acesso à Internet, porque não quer que as pessoas o usem para baixar torrents, pornografia ou qualquer outro conteúdo de Internet não salgado, usar os recursos do seu roteador / firewall para impedi-lo da internet é o caminho vai. É claro que isso depende de quão sofisticado é o seu roteador.

Se você está preocupado com isso, pegar algo desagradável, então eu não acho que impedi-lo de ter acesso à Internet é necessário. Certifique-se de que nenhum tráfego de entrada da Internet seja roteado para ele, certifique-se de que o firewall esteja em execução e que ele esteja corrigido e tenha uma política implementada para informar que ele não deve ser usado para navegação na Internet. Se as pessoas provavelmente esquecerem, dê a ele um endereço estático e nenhum gateway padrão (supondo que sua rede seja apenas uma sub-rede). Então, alguém que violar a política teria que fazê-lo deliberadamente.

É claro que você pode ter outras razões para impedir seu acesso à internet, se assim for, então, se você puder nos dizer, talvez tenhamos algumas sugestões melhores. Um pouco mais de informação sobre o seu roteador e o resto da sua rede também pode ser útil.

    
por 08.11.2010 / 20:01
2

Você precisa usar as ACLs do firewall apropriadas para proteger seu servidor interno.

    
por 08.11.2010 / 19:51
1

Defina um IP estático neste "servidor" e não atribua a ele um gateway padrão. Não será possível encontrar uma rota de e para a Internet através do seu roteador e só poderá ser acessado pela LAN.

    
por 08.11.2010 / 19:52
1

Basta configurar o servidor para ter acesso somente à LAN. Como Phoebus disse, usando o ACL no firewall para impedir o acesso a ele.

Seu DNS interno direcionará usuários internos para a intranet / wiki.

Muito simples ..

    
por 08.11.2010 / 19:54
0

Eu li isso várias vezes e ainda não tenho certeza se entendi tbh, mas com base em como estou interpretando isso ...

Você tem um novo servidor que vai (entre outras coisas) hospedar sua Intranet interna, mas não quer que ele tenha acesso à Internet (ou seja, o servidor não pode acessar a Internet e as pessoas na Internet não pode chegar a isso?).

Se esse for o caso, você deve poder configurar seu roteador para que o endereço IP de seus servidores não tenha acesso à Internet - obviamente, há muitos espaços em branco que seria útil preencher, mas, em termos gerais, isso é muito simples de fazer.

    
por 08.11.2010 / 19:52
0

No meu trabalho, temos algumas serras industriais com PCs integrados que nossos técnicos em CAD podem fazer upload de desenhos. Nós não queríamos que ele fosse capaz de acessar a internet, então nós simplesmente não fornecíamos um gateway, ele ainda era capaz de conversar com todos os PCs em nossa LAN. Isso só será útil se o servidor estiver na mesma LAN e não precisar falar com nenhum dispositivo em uma WAN.

    
por 08.11.2010 / 19:57
0

Supondo que o seu roteador seja um típico appliance de firewall / NAT do consumidor, você não precisa se preocupar com a visibilidade do seu servidor na Internet. Não é.

Por padrão, nada na sua rede interna é acessível pela Internet. O firewall com informações de estado no seu roteador permitirá apenas o tráfego da Internet na sua LAN quando esse tráfego fizer parte de uma conexão previamente estabelecida (iniciada, presumivelmente, por uma conexão de saída de uma máquina na sua LAN). Se você deseja que seu servidor fique visível para a Internet em geral, é necessário configurar seu roteador deliberadamente para encaminhar as portas apropriadas para o seu servidor. Simplesmente não faça isso, e seu servidor deve ser invisível para a internet.

    
por 08.11.2010 / 20:10
0

Para seus usuários, você também pode modificar \ Windows \ System32 \ drivers \ etc \ hosts para apontar "Wiki" para seus servidores com IP interno atribuído estaticamente. Eles podem acessar o link e eles estão lá.

Para o seu servidor, você também pode fazer isso para fins de correção ou conforme indicado acima - faça o inverso e forneça o endereço dfgw para que possa obter patches, atualizações de drivers, etc., e desative o dfgw quando está feito.

Além disso, se as preocupações com a segurança forem grandes, talvez você queira verificar o servidor, desativar todos os serviços desnecessários e outras coisas que serão executadas em uma instalação padrão.

E veja também os seus utilizadores internos:)

    
por 09.11.2010 / 22:15

Tags

A maneira mais rápida de compartilhar um sistema de arquivos Solaris (ZFS) com dois servidores Windows? Como usar o rsync para excluir arquivos com mais de 1 semana