É necessário ter regras de firewalls entre nós confiáveis que se comunicam em suas interfaces de back-end?

É uma dor, eu concordo. Você pode fazer sem (contanto que você ainda bloqueie todo o resto na eth0, que você já indicou).

O único risco é: Se um dos seus 6 servidores ficar comprometido, é mais fácil para o "vilão" entrar nos outros 5.
Eles provavelmente estão executando o mesmo sistema operacional com a mesma vulnerabilidade do primeiro servidor, de modo que o invasor provavelmente também possa comprometê-los via eth1, em primeiro lugar. Mas se esses 6 servidores forem diferentes ou tiverem serviços diferentes expostos na eth1, então o FW adicional na eth0 pode impedir que um invasor obtenha acesso no outro 5.

Independentemente da escolha que você fizer: Espero que você tenha configurações de contas / senhas diferentes para essas máquinas. Você provavelmente tem o SSH ativado no eth0 de qualquer maneira. Se um invasor conseguir uma conta em 1, ele pode simplesmente passar para a próxima caixa se eles forem iguais. Às vezes, a autenticação de ID do usuário / senha no topo da autenticação baseada em chave é uma boa ideia.

Se cada servidor tiver permissão para entrar em contato com todos os outros servidores em todas as portas abertas, então os firewalls não estão realmente fazendo nada e você também pode usar um cobertor aceito. Se houver algum tráfego interno que não é permitido, isso depende das conseqüências de que essas restrições sejam ignoradas em comparação com o esforço de gerenciamento.

Abrir portas para NFS e glusterfs não precisa ser uma dor de cabeça.

O Glusterfs usa muitas portas, mas é uma lista conhecida e finita que pode ser roteirizada. O NFS pode ser configurado para usar portas específicas (em /etc/sysconfig/nfs no RHEL e em servidores NFS semelhantes) em vez de aleatórias.