Eu sou um desenvolvedor por profissão, mas como sou, portanto, um "expert" em todas as coisas, eu me vejo ajudando no escritório da minha esposa de tempos em tempos ... conhecimento de rede um pouco aqui, então eu estava esperando que alguém aqui pudesse me ajudar um pouco.
A situação (como eu descobri recentemente!) é que eles têm um site hospedado em seu escritório (acessível publicamente através de um IP fixo que é encaminhado por porta (80 e 443) em seu simples Netgear Wifi AcessPoint / Router para seu servidor). Este servidor contém TUDO para a empresa - seus bancos de dados, documentos, etc. Os bancos de dados são acessados pelo site e pelos usuários internos com um aplicativo interno do Windows. Os bancos de dados contêm dados razoavelmente privados. Quando descobri que eles estavam fazendo isso, eu recomendei que eles mudassem o site para outro servidor (eles tinham um sobressalente), e mantenham o acesso público separado de seu servidor principal. O servidor principal executa o Win2k3 SBS e o servidor da Web que eu configuro executa o Win2k3 Web Edition.
O que eu estava pensando em fazer era colocar o servidor em uma sub-rede diferente (por exemplo, 192.168.10.x em vez de 192.168.0.x) e ter o roteador encaminhando 80 e 443 para ele. Em seguida, multi-home o servidor principal para que ele possa ver a outra sub-rede também. No entanto, o roteador não pode encaminhar para uma sub-rede diferente, então fiquei um pouco preso e acabei com o know-how de rede. O roteador está fazendo DHCP, a propósito.
Existe uma maneira de configurar esse tipo de coisa usando o RRAS? Ou eu estou lutando contra uma causa perdida? Devo persuadi-los a comprar um roteador melhor (que tem que ser BARATO! - eles são uma pequena empresa, e algo que eu poderia ter configurado). Ou seria bom manter o servidor na mesma sub-rede, se algum tipo de software de firewall fosse configurado corretamente?
Qualquer ajuda e orientação muito apreciada.
Os serviços public aviable devem sempre ser separados da LAN interna (e acima).
Eu os convenceria a comprar um firewall barato com 3 interfaces (ou duas interfaces + vlan + um switch). Eu sei que a Linksys tem alguns firewalls de negócios muito baratos que atendem perfeitamente às suas necessidades.
Editar: para o cartaz acima; mesma sub-rede IP, mas VLANs separadas? Isso não é possível.
Eu acho que você está (ou pode estar) se preocupando desnecessariamente. Afinal, se você configurar um Servidor SBS, descobrirá que ele está (destinado a ser) disponível na Internet para que o Outlook Web Access eo Local de Trabalho Remoto da Web funcionem. Os milhões de instalações do SBS por aí não parecem estar anunciando uma onda de servidores hackeados.
Se você está apenas encaminhando as portas 80 e 443, terá que trabalhar para apresentar qualquer problema sério de segurança. Eu suponho que há um risco de que o próximo vírus Code Red apareça e permita que alguém decifre o servidor, mas isso parece um pequeno risco hoje em dia.
Se você acha que o material da web será um desperdício de recursos, o que é improvável, já que eles são uma pequena empresa, você poderia colocar o servidor da web e mantê-lo na mesma sub-rede. Apenas mude o encaminhamento de porta. É realmente vale a pena embora?
JR
Você pode colocá-los na mesma sub-rede e usar VLANs.
Fortigate cria um firewall / roteador bem simples que permite duas redes internas e uma externa. Alguns modelos possuem WiFi também. Eles não são os mais baratos, mas são confiáveis e completos.
Você poderá configurá-lo para suportar o DHCP, etc, e protegerá seu servidor da Web em uma DMZ, permitindo o acesso de usuários internos e externos com diferentes níveis de segurança.
Você não precisará usar o servidor principal em várias residências, apenas se conectará internamente como antes.
Pode ser um bom momento para começar a discutir as cópias de segurança também.
Um Mikrotik RB450 ( link ) lidaria com a segmentação das redes, firewall, fornecendo funcionalidade NAT, etc. Você deveria ser capaz de Compre por ~ $ 100, ou $ 130 se você quiser o RB450G capaz de gigabit.
Tags networking router rras