Eu tenho dois servidores Linux conectados uns aos outros através de um cabo de conexão cruzada, formando uma rede local. Um dos servidores apresenta uma DMZ para o outro servidor (por exemplo, servidor de banco de dados) que deve ser muito seguro.
Estou restringindo essa questão à comunicação entre os dois servidores para portas que precisam estar disponíveis apenas para esses servidores (e mais ninguém). Assim, a comunicação entre os dois servidores pode ser estabelecida por:
(1) abrindo a (s) porta (s) requerida (s) em ambos os servidores, e autenticando de acordo com as regras das aplicações.
(2) desabilitando as tabelas IP associadas às placas NIC ao qual o cabo de conexão cruzada está conectado (em ambos os servidores).
Qual método é mais seguro?
No primeiro caso, as portas necessárias estão abertas para o mundo externo, mas protegidas pelo nome de usuário e senha.
No segundo caso, nenhuma das portas necessárias está aberta ao mundo externo, mas como as tabelas IP estão desabilitadas para as placas NIC associadas aos cabos de conexão cruzada, essencialmente todas as portas podem ser consideradas como " aberto "entre os dois servidores (e, portanto, se o servidor que cria a DMZ for comprometido, o hacker no servidor DMZ poderá visualizar todas as portas abertas usando o cabo de conexão cruzada).
Qualquer sabedoria convencional de como tornar a comunicação segura entre dois servidores para portas que somente esses servidores precisam acessar?