Mam taką sytuację.
Mam 10 maszyn wirtualnych w tym np.: małe serwerki svn, www itp
Na nowym łączu z netem i z publicznym adresem chciałbym wystawić je pod "publikę" (może nie dla całego świata, ale dla jakiejś grupy określonej grupy ludzi) <- i teraz moje pytanie, jak to zabezpieczyć przed ewentualnymi atakami z zewnątrz.
W tej chwili każda maszyna ma w Virtualoxie opcje sieciową Bridged, czyli zachowuje się jak fizyczny sprzęt podpięty do routera.
Myślałem np.: postawieniem wirtualki z jakimś linuchem, który będzie służył za firewalla, dhcp, serwer nat (za którym będzie reszta maszyn). Wtedy wszystkie połączenia z zewnątrz szłyby na takiego linucha, który przekierowywałby żądania na odpowiednią wirtualkę.
Mogę powiedzieć też, że fizyczny serwer oparty jest na Windows Home Serwer 2011 (czyli windows serwer 2008 nakładką) i nie w chodzi w grę instalacja linucha na żadnym fizycznym sprzęcie.
W razie pytań odpowiem :)
postaw linucha na wirtualce. I wszystkie maszyny przestaw na niego jako na bramkę. Na tym linuchu postaw np shorewall albo inny podobny produkt. Zezwalaj tylko na pakiety do odpowiednich maszyn i po odpowiednich portach a resztę spuszczaj na drzewo.
Np masz stronę www na kompie 192.168.1.23 i ftp na kompie 192.168.1.24
Czyli puszczasz pakiety na 192.168.1.23:80 i 192.168.1.24:21 a wszystkie inne pakiety na inne adresy i inne porty uwalasz. Oczywiście zadbaj też by twoje serwerki były odpowiednio zabezpieczone.
Cytat: Troll81 w 11 Wrzesień 2011, 13:15
postaw linucha na wirtualce. I wszystkie maszyny przestaw na niego jako na bramkę. Na tym linuchu postaw np shorewall albo inny podobny produkt. Zezwalaj tylko na pakiety do odpowiednich maszyn i po odpowiednich portach a resztę spuszczaj na drzewo.
Np masz stronę www na kompie 192.168.1.23 i ftp na kompie 192.168.1.24
Czyli puszczasz pakiety na 192.168.1.23:80 i 192.168.1.24:21 a wszystkie inne pakiety na inne adresy i inne porty uwalasz. Oczywiście zadbaj też by twoje serwerki były odpowiednio zabezpieczone.
Czyli zrobić NAT'a z wirtualnym linuchem tak jak myślałem?
Na routerze ustawie DMZ na wirtualkę z linuchem, a porty zamiast na routerze to na linuchu będę ustawiał.
Jak skonfiguruje windows web serwer 2008 pod php to postawie takiego firewalla.
+ zezwalaj na laczenie sie do konkretnych maszyn ludziom z konkretnych ip
Cytat: Tomasz R. Gwiazda w 11 Wrzesień 2011, 21:41
+ zezwalaj na laczenie sie do konkretnych maszyn ludziom z konkretnych ip
extremalne rozwiązanie ;) <- też już rozważałem filtrowanie po MAC'u, ale nie które rzeczy np.: mój mini blog będzie ogólnodostępny
tylko, że wszyscy mają neostradę co oznacza dynamiczne IP :(
filtrowanie po MACu odpada podobnie po IP. Ale wystarczy wprowadzić logowanie na serwerku WWW. To juz odfiltruje przypadkowych ludzi. A nieprzypadkowym wyślij hasło w mailu :D
Cytat: Troll81 w 12 Wrzesień 2011, 10:04
filtrowanie po MACu odpada podobnie po IP. Ale wystarczy wprowadzić logowanie na serwerku WWW. To juz odfiltruje przypadkowych ludzi. A nieprzypadkowym wyślij hasło w mailu :D
Odpada <- tak jak pisałem chciałbym coś pod publikę całkowicie wystawić bez haseł itp
ogolnie to takie pytanie, po co ? :)
biorac pod uwage koszt wynajecie powera w cloud ?
Cytat: Tomasz R. Gwiazda w 12 Wrzesień 2011, 13:10
ogolnie to takie pytanie, po co ? :)
biorac pod uwage koszt wynajecie powera w cloud ?
no wiesz skoro i tak serwerek będzie chodził 24h/d i miał łącze ok.8mega/5mega to czemu nie wykorzystać tego.
no nie wiem :) doswiadczenie mi mowi ze nie mozna byc za dobrym dla innych :) bo 1. nie docenia , 2. jeszcze beda klopoty z tego :)
Cytat: Tomasz R. Gwiazda w 12 Wrzesień 2011, 23:23
no nie wiem :) doswiadczenie mi mowi ze nie mozna byc za dobrym dla innych :) bo 1. nie docenia , 2. jeszcze beda klopoty z tego :)
1. żadna nowość
2. kłopoty?