No meu escritório, temos duas linhas de internet separadas. Um é para a internet do escritório em geral, e o outro é uma linha dedicada para o servidor da web. Eu tentei conectar o dedicado ao nosso switch usando uma vlan para que eu possa acessar o servidor da web através da nossa rede local em vez de ir para a internet e voltar, mas não consegui fazê-lo funcionar.
Eu pensei que se eu tivesse a linha dedicada e as portas do servidor web em uma vlan e marcasse a porta do servidor web em ambas as vlans, ele deveria funcionar. Eu tentei dar ao servidor um segundo ip em uma sub-rede diferente, 192.168.2.x, do que a rede local (isso é mais seguro?) E dei ao servidor corporativo um IP lá também, e isso não funcionou (isso ainda requer um estática rota ??), então eu colocá-lo na mesma sub-rede (1.x) e, em seguida, eu poderia acessá-lo localmente, mas já não estava usando seu primeiro ip estático e, portanto, não estava mais on-line. Eu tentei mover a porta do servidor web de volta para a primeira vlan (local) e mantê-la marcada em ambas as vlans, e isso também não funcionou.
Estou tentando fazer isso da maneira certa? Devo ter alguma preocupação com a segurança de tê-los conectados assim?
Obrigado por qualquer ajuda. Mark
Se o seu servidor tem duas portas ethernet (a maioria dos servidores atualmente), eu criaria uma nova VLAN "DMZ" no seu switch, colocaria a segunda porta do servidor web nela, configuraria no roteador (seu roteador a conexão comutada deve ser um tronco da VLAN) e, no roteador do escritório, configurar uma rota estática para o IP da Web público por meio do IP da Web DMZ e no servidor da Web uma rota estática para a rede do escritório via IP DMZ do roteador. p>
Você não especificou como / se o NAT está sendo feito, ou se você acabou de MIP / Full-Traduzir o IP estático para o dedicado ou ...
Bem, grosso modo, é assim que eu faria (rolar para baixo para o diagrama ASCII love < 3)
.-,( ),-.
.-( )-.
( teh internets )
'-( ).-'
.-----'-.( ).-'----.
| |
| |
__v___ __v___
LAN Line |_ooo_x| |_ooo_x| Dedicated Server Line
| |
| |
[69.70.2xx.21] [75.120.1xx.37]
| |
| |
| |
'-->eth0 eth1<--'
............................. _*______*_ ...........................
. .-------eth2*.[_...__...o]*eth3 -------. .
. | . ROUTER/SW . | .
. | . . | .
. [192.168.1.0/24] . . [172.16.32.0/24] .
. | . . | .
. | . . | .
. v . . | .
. ____ __ . . | .
. | | |==| . . | .
. |____| | | . . | .
. /::::/ |__| . . | ____ .
. ____ __ ____ __ . . v |====| .
. | | |==| | | |==| . . eth0*| | .
. |____| | | |____| | | . . | | .
. /::::/ |__| /::::/ |__| . . |____| .
. . . .
. Local Network . . Web Server .
............................. ...........................
[vlan1 - LAN] [vlan2 - DMZ]
.----------------------------------------------.
| Abstract Routing/Vlan device Config |
| |
| 192.168.1.0/24 => NAT on 69.70.2xx.21 |
| |
| Full NAT/Mapping: |
| 75.120.1xx.37 => MAP to 172.16.32.X [Server] |
| 172.16.32.X => NAT on 75.120.1xx.37 |
| |
| Route LAN => DMZ traffic |
| 192.168.1.0/24 => 172.16.32.0/24 |
| (filtered, ex: TCP DST 22/80/443) |
| |
| Deny outbound DMZ => LAN traffic: |
| 172.16.32.0/24 =>X 192.168.1.0/24 [DENY] |
| (except related) |
'----------------------------------------------'
Observe que você pode substituir portas por VLANs e substituir o dispositivo semelhante a um roteador mítico nesse esquema por uma combinação de vários roteadores / dispositivos NAT e switches / VLANs. Mas esta é a ideia genérica. Eu provavelmente iria para o mapeamento / NAT completo em vez de adicionar uma NIC extra ao servidor da Web para rotear de volta na LAN.
Filtrar o tráfego também é bom - permite / algum / acesso ao DMZ da sua rede local, que é o ponto inteiro, e impede que o servidor web acesse diretamente a sua LAN. Útil, em caso de quebra.
Possíveis alternativas para dispositivos semelhantes a roteadores míticos:
.---------------------------.
| Multiple NAT Devices |
| (Requires Router Switch, |
| or extra Router) |
'---------------------------' .-,( ),-.
.-----------------------> .-( )-.
| .--->( interwebs )
69.70.2xx.21 | '-( ).-'
| 75.120.1xx.37 '-.( ).-'
| |
__________ __________
.->|____oooo_x| |____oooo_x|<---.
| LAN Line Server Line |
| (NAT) (NAT) |
| |
**|**************** ******************|
192.168.1.0/24 __Managed Switch____ 172.16.32.0/24
* '--------[_::::::::::::::::::x]--------'
* ^ * * ^ *
* | * * | *
*LAN VLAN****|***** ******|**DMZ VLAN*
| |
| __________ |
'-[_...__...x]--'
route/filtering
192.168.1.0/24 <=> 172.16.32.0/24
Esse cenário implica que as máquinas em cada VLAN têm uma rota para a sub-rede umas das outras, e cada dispositivo NAT da VLAN é o gateway padrão do respectivo.
Ou se você realmente tiver um dispositivo de borda "real" (o que seria muito bom):
.---------------------------.
| Simple NAT Device |
| + ASA/Edge Firewall |
'---------------------------'
.-,( ),-.
.-----------------------> .-( )-.
| ( interwebs )
69.70.2xx.21 '-( ).-'
| '-.( ).-'
______ ^
.--->|_ooo_x| .--------'
| LAN Line |
| (Office NAT) 75.120.1xx.37
| |
192.168.1.0/24 |
| _[Out Int.]_____
******|************* [_...________...x][DMZ Int.]
* ___|__________ * ^ [In Int.] |
* [_::::::::::::x] * / | ************|*******
* Switch ^ * / | * 172.16.32.0/24
* '-------192.168.1.0/24----' * _ | *
* * / * |=| | *
*LAN VLAN*********** / * |_| v *
/ * Web Server *
.--------------------------------------. * *
. route/filtering . ***********DMZ VLAN*
. on Edge FW, between In and DMZ .
. 192.168.1.0/24 <=> 172.16.32.0/24 .
. (Previous pseudo-rules/routes apply) .
'--------------------------------------'
Ou se o seu servidor realmente estiver diretamente conectado sem nenhum tipo de NAT (é melhor que o filtro esteja sendo executado nele):
.------------------------------------------------------.
| Single Office NAT + |
| Server w/ Direct, Routable IP |
| (Requires second NIC, and a lot of manual, |
| separate, OS-specific filtering done on the server) |
'------------------------------------------------------'
.-,( ),-.
.-----------------------> .-( )-.
| ( interwebs )
69.70.2xx.21 '-( ).-'
| '-.( ).-'
______ |
.----->|_ooo_x| |
| LAN Line |
| (Office NAT) 75.120.1xx.37
| |
192.168.1.0/24 |
| |
******|************* v
* ___|__________ * eth0
* [_::::::::::::x] * __
* Switch ^ * _______ |==|
* '--192.168.1.0/24--|___|___|---eth1| |
* * |_|___|_| |__|
*LAN VLAN*********** Firewall Web Server
(On server)
.--------------------------------------------------------------------.
. "pseudo DMZ" enforced by fw rules on Server. .
. No routing required. Defeats the entire point, too. .
. Attacker on Server can potentially alter ruleset and poke at LAN. .
'--------------------------------------------------------------------'
No entanto, isso não é muito bom, em termos de segurança. Sinta-se à vontade para combinar cenários. Se você precisar de mais detalhes, fique à vontade para perguntar também:)
Espero que isso ajude um pouco. Além disso, havia um tempo desde que eu tinha feito gráficos ASCII. Muita diversão foi aqui: D