Como eu permito acesso à rede local a uma segunda linha dedicada de servidor web?

2

No meu escritório, temos duas linhas de internet separadas. Um é para a internet do escritório em geral, e o outro é uma linha dedicada para o servidor da web. Eu tentei conectar o dedicado ao nosso switch usando uma vlan para que eu possa acessar o servidor da web através da nossa rede local em vez de ir para a internet e voltar, mas não consegui fazê-lo funcionar.

Eu pensei que se eu tivesse a linha dedicada e as portas do servidor web em uma vlan e marcasse a porta do servidor web em ambas as vlans, ele deveria funcionar. Eu tentei dar ao servidor um segundo ip em uma sub-rede diferente, 192.168.2.x, do que a rede local (isso é mais seguro?) E dei ao servidor corporativo um IP lá também, e isso não funcionou (isso ainda requer um estática rota ??), então eu colocá-lo na mesma sub-rede (1.x) e, em seguida, eu poderia acessá-lo localmente, mas já não estava usando seu primeiro ip estático e, portanto, não estava mais on-line. Eu tentei mover a porta do servidor web de volta para a primeira vlan (local) e mantê-la marcada em ambas as vlans, e isso também não funcionou.

Estou tentando fazer isso da maneira certa? Devo ter alguma preocupação com a segurança de tê-los conectados assim?

Obrigado por qualquer ajuda. Mark

    
por Mark 24.11.2010 / 03:23

2 respostas

1

Se o seu servidor tem duas portas ethernet (a maioria dos servidores atualmente), eu criaria uma nova VLAN "DMZ" no seu switch, colocaria a segunda porta do servidor web nela, configuraria no roteador (seu roteador a conexão comutada deve ser um tronco da VLAN) e, no roteador do escritório, configurar uma rota estática para o IP da Web público por meio do IP da Web DMZ e no servidor da Web uma rota estática para a rede do escritório via IP DMZ do roteador. p>     

por 24.11.2010 / 04:13
1

Você não especificou como / se o NAT está sendo feito, ou se você acabou de MIP / Full-Traduzir o IP estático para o dedicado ou ...

Bem, grosso modo, é assim que eu faria (rolar para baixo para o diagrama ASCII love < 3)

                                   .-,(  ),-.
                                .-(          )-.
                               (  teh internets )
                                '-(          ).-'
                              .-----'-.( ).-'----.
                              |                  |
                              |                  |
                            __v___             __v___
                  LAN Line |_ooo_x|           |_ooo_x| Dedicated Server Line
                              |                  |
                              |                  |
                        [69.70.2xx.21]     [75.120.1xx.37]
                              |                  |
                              |                  |
                              |                  |
                              '-->eth0    eth1<--'
     ............................. _*______*_  ...........................
     .              .-------eth2*.[_...__...o]*eth3 -------.             .
     .              |            . ROUTER/SW   .           |             .
     .              |            .             .           |             .
     .      [192.168.1.0/24]     .             .   [172.16.32.0/24]      .
     .              |            .             .           |             .
     .              |            .             .           |             .
     .              v            .             .           |             .
     .          ____   __        .             .           |             .
     .         |    | |==|       .             .           |             .
     .         |____| |  |       .             .           |             .
     .         /::::/ |__|       .             .           |   ____      .
     .   ____   __    ____   __  .             .           v  |====|     .
     .  |    | |==|  |    | |==| .             .         eth0*|    |     .
     .  |____| |  |  |____| |  | .             .              |    |     .
     .  /::::/ |__|  /::::/ |__| .             .              |____|     .
     .                           .             .                         .
     .       Local Network       .             .            Web Server   .
     .............................             ...........................
            [vlan1 - LAN]                            [vlan2 - DMZ]

                           .----------------------------------------------.
                           | Abstract Routing/Vlan device Config          |
                           |                                              |
                           | 192.168.1.0/24 => NAT on 69.70.2xx.21        |
                           |                                              |
                           | Full NAT/Mapping:                            |
                           | 75.120.1xx.37 => MAP to 172.16.32.X [Server] |
                           | 172.16.32.X => NAT on 75.120.1xx.37          |
                           |                                              |
                           | Route LAN => DMZ traffic                     |
                           | 192.168.1.0/24 => 172.16.32.0/24             |
                           | (filtered, ex: TCP DST 22/80/443)            |
                           |                                              |
                           | Deny outbound DMZ => LAN traffic:            |
                           | 172.16.32.0/24 =>X 192.168.1.0/24 [DENY]     |
                           | (except related)                             |
                           '----------------------------------------------'

Observe que você pode substituir portas por VLANs e substituir o dispositivo semelhante a um roteador mítico nesse esquema por uma combinação de vários roteadores / dispositivos NAT e switches / VLANs. Mas esta é a ideia genérica. Eu provavelmente iria para o mapeamento / NAT completo em vez de adicionar uma NIC extra ao servidor da Web para rotear de volta na LAN.

Filtrar o tráfego também é bom - permite / algum / acesso ao DMZ da sua rede local, que é o ponto inteiro, e impede que o servidor web acesse diretamente a sua LAN. Útil, em caso de quebra.

Possíveis alternativas para dispositivos semelhantes a roteadores míticos:

.---------------------------.
|   Multiple NAT Devices    |
| (Requires Router Switch,  |
|   or extra Router)        |
'---------------------------'                .-,(  ),-.
                .-----------------------> .-(          )-.
                |                   .--->(    interwebs   )
          69.70.2xx.21              |     '-(          ).-'
                |             75.120.1xx.37   '-.( ).-'
                |                   |
           __________          __________
       .->|____oooo_x|        |____oooo_x|<---.
       |    LAN Line           Server Line    |
       |      (NAT)              (NAT)        |
       |                                      |
     **|****************    ******************|
192.168.1.0/24   __Managed Switch____  172.16.32.0/24
     * '--------[_::::::::::::::::::x]--------'
     *            ^    *    *     ^          *
     *            |    *    *     |          *
     *LAN VLAN****|*****    ******|**DMZ VLAN*
                  |               |
                  |  __________   |
                  '-[_...__...x]--'

                   route/filtering
          192.168.1.0/24 <=> 172.16.32.0/24

Esse cenário implica que as máquinas em cada VLAN têm uma rota para a sub-rede umas das outras, e cada dispositivo NAT da VLAN é o gateway padrão do respectivo.

Ou se você realmente tiver um dispositivo de borda "real" (o que seria muito bom):

.---------------------------.
| Simple NAT Device         |
|    + ASA/Edge Firewall    |
'---------------------------'
                                             .-,(  ),-.
                .-----------------------> .-(          )-.
                |                        (    interwebs   )
          69.70.2xx.21                    '-(          ).-'
                |                             '-.( ).-'
             ______                               ^
       .--->|_ooo_x|                     .--------'
       |    LAN Line                     |
       |  (Office NAT)             75.120.1xx.37
       |                                 |
192.168.1.0/24                           |
       |                           _[Out Int.]_____
 ******|*************             [_...________...x][DMZ Int.]
 *  ___|__________  *             ^ [In Int.]            |
 * [_::::::::::::x] *            /       |   ************|*******
 *     Switch  ^    *           /        |   *     172.16.32.0/24
 *             '-------192.168.1.0/24----'   *      _    |      *
 *                  *         /              *     |=|   |      *
 *LAN VLAN***********        /               *     |_|   v      *
                            /                * Web Server       *
   .--------------------------------------.  *                  *
   .          route/filtering             .  ***********DMZ VLAN*
   .   on Edge FW, between In and DMZ     .
   .  192.168.1.0/24 <=> 172.16.32.0/24   .
   . (Previous pseudo-rules/routes apply) .
   '--------------------------------------'

Ou se o seu servidor realmente estiver diretamente conectado sem nenhum tipo de NAT (é melhor que o filtro esteja sendo executado nele):

.------------------------------------------------------.
| Single Office NAT +                                  |
|   Server w/ Direct, Routable IP                      |
| (Requires second NIC, and a lot of manual,           |
|  separate, OS-specific filtering done on the server) |
'------------------------------------------------------'
                                              .-,(  ),-.
                 .-----------------------> .-(          )-.
                 |                        (    interwebs   )
           69.70.2xx.21                    '-(          ).-'
                 |                             '-.( ).-'
              ______                               |
      .----->|_ooo_x|                              |
      |      LAN Line                              |
      |    (Office NAT)                      75.120.1xx.37
      |                                            |
 192.168.1.0/24                                    |
      |                                            |
******|*************                               v
*  ___|__________  *                             eth0
* [_::::::::::::x] *                              __
*     Switch  ^    *              _______        |==|
*             '--192.168.1.0/24--|___|___|---eth1|  |
*                  *             |_|___|_|       |__|
*LAN VLAN***********             Firewall     Web Server
                                (On server)

   .--------------------------------------------------------------------.
   .            "pseudo DMZ" enforced by fw rules on Server.            .
   .         No routing required. Defeats the entire point, too.        .
   .  Attacker on Server can potentially alter ruleset and poke at LAN. .
   '--------------------------------------------------------------------'

No entanto, isso não é muito bom, em termos de segurança. Sinta-se à vontade para combinar cenários. Se você precisar de mais detalhes, fique à vontade para perguntar também:)

Espero que isso ajude um pouco. Além disso, havia um tempo desde que eu tinha feito gráficos ASCII. Muita diversão foi aqui: D

    
por 24.11.2010 / 09:43