Segmentar uma máquina virtual da LAN para hospedagem

Navegue suas respostas
2

Existe uma maneira de segmentar minha máquina virtual a partir da minha LAN e, ainda assim, disponibilizá-la para usuários externos? O que estou tentando alcançar é um tipo de VPS, mas não tenho certeza de como as empresas de hospedagem fazem isso.

Plano de fundo : no momento, estou tentando expandir meu conhecimento sobre segurança do UNIX, e pensei: que melhor maneira de fazer isso do que fornecer contas SSH e ver o que as pessoas podem quebrar? Os diretórios iniciais desses usuários também terão uma pasta public_html que eles podem acessar da Web ( link ). O mais complicado é segmentar isso da minha LAN. Se eu usar redes somente de host, ninguém poderá acessá-las. Se eu configurá-lo para redes em ponte, as coisas estão bem e perfeitas, exceto pelo fato de que essa caixa pode:

  • Veja a página de administração do meu roteador
  • Veja outras máquinas na rede
  • E, claro, veja os compartilhamentos associados do Windows.

Existe uma maneira de colocá-lo em sua própria "VLAN virtualizada"? Quero dizer, eu poderia fazer com que ele usasse um dos meus adaptadores físicos de rede e colocar esse cabo em um switch, mas eu não sinto como gastar dinheiro em um switch com recursos de VLAN para algo temporário. A mesma ideia vale para um firewall colocá-lo em uma DMZ, a menos que haja uma maneira de fazer isso. Meu modem DSL atual tem uma função DMZ para colocar uma máquina em uma DMZ, mas meu servidor da web já está ocupando isso ( e o recurso DMZ do modem realmente segmenta a máquina ou apenas a torna pública? )

Eu estarei acompanhando de perto o sistema por abuso. cURL e wget foram removidos, e estou usando trickle para acelerar a largura de banda da caixa para 20kb / s.

Eu provavelmente estou perdendo a resposta óbvia aqui, alguém, por favor, me ilumine.

    
por RHELAdmin 24.06.2010 / 15:05

2 respostas

1

Você precisa usar sua infraestrutura virtual para isso? Parece que uma estação de trabalho antiga / off-lease com <insert_linux_distro_of_choice_here> executando iptables funcionará como um servidor Web para hospedar esses sites; quando estiver pronto, você pode formatá-lo com o Windows ou qualquer outro e usá-lo como uma estação de trabalho novamente.

Quanto ao seu equipamento atual, quantas interfaces seu modem / roteador DSL possui? Você pode configurar uma interface de LAN separada, mas não estou supondo que seja apenas algo que veio do seu ISP; talvez se você postar a marca / modelo não. podemos dizer com certeza.

Independentemente do webhosting, obtenha um verdadeiro firewall: o pfSense é ótimo em uma estação de trabalho dual-NIC e oferece recursos "empresariais" para nada (como VPN, IDS, Squid, etc.).

Com o pfSense, você também pode configurar VLANs em qualquer interface para obter uma configuração DMZ verdadeira isolada de sua LAN, mas ainda atrás do firewall com as regras de filtragem de pacotes necessárias (permitir TCP 80 de entrada, negar tudo). / p>     

por 24.06.2010 / 16:59
0

A função DMZ dos roteadores provavelmente torna todas as portas no servidor voltadas para o público. Você deve considerar o uso da funcionalidade DNAT, se tiver. Você deve isolar seu servidor virtual em uma rede virtual separada. Se você estiver usando o Linux, poderá usar tabelas de IP para isolar seu servidor. Isso também pode registrar todas as tentativas de acessar portas e / ou hosts que você não deseja que as pessoas acessem. (ou seja, samba, roteador, etc.). Eu acho que o Shorewall faz a configuração do iptables em casos como este bastante simples.

    
por 24.06.2010 / 16:34

Tags

Salve e restaure a configuração de disco distribuído no Windows 2008 p4 - Eu não tenho esse arquivo ou diretório - quando na realidade existe