Zabezpieczenie serwerków w sieci lokalnej

[goofyx]

Mam taką sytuację.
Mam 10 maszyn wirtualnych w tym np.: małe serwerki svn, www itp
Na nowym łączu z netem i z publicznym adresem chciałbym wystawić je pod "publikę" (może nie dla całego świata, ale dla jakiejś grupy określonej grupy ludzi) <- i teraz moje pytanie, jak to zabezpieczyć przed ewentualnymi atakami z zewnątrz.
W tej chwili każda maszyna ma w Virtualoxie opcje sieciową Bridged, czyli zachowuje się jak fizyczny sprzęt podpięty do routera.
Myślałem np.: postawieniem wirtualki z jakimś linuchem, który będzie służył za firewalla, dhcp, serwer nat (za którym będzie reszta maszyn). Wtedy wszystkie połączenia z zewnątrz szłyby na takiego linucha, który przekierowywałby żądania na odpowiednią wirtualkę.
Mogę powiedzieć też, że fizyczny serwer oparty jest na Windows Home Serwer 2011 (czyli windows serwer 2008  nakładką) i nie w chodzi w grę instalacja linucha na żadnym fizycznym sprzęcie.
W razie pytań odpowiem :)

[Troll81]

postaw linucha na wirtualce. I wszystkie maszyny przestaw na niego jako na bramkę. Na tym linuchu postaw np shorewall albo inny podobny produkt. Zezwalaj tylko na pakiety do odpowiednich maszyn i po odpowiednich portach a resztę spuszczaj na drzewo.

Np masz stronę www na kompie 192.168.1.23 i ftp na kompie 192.168.1.24

Czyli puszczasz pakiety na 192.168.1.23:80 i 192.168.1.24:21 a wszystkie inne pakiety na inne adresy i inne porty uwalasz. Oczywiście zadbaj też by twoje serwerki były odpowiednio zabezpieczone.

[goofyx]

postaw linucha na wirtualce. I wszystkie maszyny przestaw na niego jako na bramkę. Na tym linuchu postaw np shorewall albo inny podobny produkt. Zezwalaj tylko na pakiety do odpowiednich maszyn i po odpowiednich portach a resztę spuszczaj na drzewo.

Np masz stronę www na kompie 192.168.1.23 i ftp na kompie 192.168.1.24

Czyli puszczasz pakiety na 192.168.1.23:80 i 192.168.1.24:21 a wszystkie inne pakiety na inne adresy i inne porty uwalasz. Oczywiście zadbaj też by twoje serwerki były odpowiednio zabezpieczone.

Czyli zrobić NAT'a z wirtualnym linuchem tak jak myślałem?
Na routerze ustawie DMZ na wirtualkę z linuchem, a porty zamiast na routerze to na linuchu będę ustawiał.

Jak skonfiguruje windows web serwer 2008 pod php to postawie takiego firewalla.

[Tomasz R. Gwiazda]

+ zezwalaj na laczenie sie do konkretnych maszyn ludziom z konkretnych ip

[goofyx]

+ zezwalaj na laczenie sie do konkretnych maszyn ludziom z konkretnych ip

extremalne rozwiązanie ;) <- też już rozważałem filtrowanie po MAC'u, ale nie które rzeczy np.: mój mini blog będzie ogólnodostępny
tylko, że wszyscy mają neostradę co oznacza dynamiczne IP :(

[Troll81]

filtrowanie po MACu odpada podobnie po IP. Ale wystarczy wprowadzić logowanie na serwerku WWW. To juz odfiltruje przypadkowych ludzi. A nieprzypadkowym wyślij hasło w mailu :D

[goofyx]

filtrowanie po MACu odpada podobnie po IP. Ale wystarczy wprowadzić logowanie na serwerku WWW. To juz odfiltruje przypadkowych ludzi. A nieprzypadkowym wyślij hasło w mailu :D

Odpada <- tak jak pisałem chciałbym coś pod publikę całkowicie wystawić bez haseł itp

[Tomasz R. Gwiazda]

ogolnie to takie pytanie, po co ? :)

biorac pod uwage koszt wynajecie powera w cloud ?

[goofyx]

ogolnie to takie pytanie, po co ? :)

biorac pod uwage koszt wynajecie powera w cloud ?

no wiesz skoro i tak serwerek będzie chodził 24h/d i miał łącze ok.8mega/5mega to czemu nie wykorzystać tego.

[Tomasz R. Gwiazda]

no nie wiem :) doswiadczenie mi mowi ze nie mozna byc za dobrym dla innych :) bo 1. nie docenia , 2. jeszcze beda klopoty z tego :)

[goofyx]

no nie wiem :) doswiadczenie mi mowi ze nie mozna byc za dobrym dla innych :) bo 1. nie docenia , 2. jeszcze beda klopoty z tego :)

1. żadna nowość
2. kłopoty?