服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何让本地networking访问第二个专用的Web服务器行?
Intereting Posts
IIS8 PHP7多个PHP网站 如何使用PowerShell添加防火墙规则? 在同一个dockernetworking中的另一个容器的发布的暴露端口上拒绝访问 CPU亲和力设置不坚持 jetty 7启动时使用jetty部署描述符的NullPointerException 起搏器DRBD资源没有升级到任何节点上的主站 IIS 7出错:应用程序池已被自动禁用 互联网子域名可以指向内部IP吗?是不是也是好的做法呢? tmpfs在重新启动时更改大小 sshfs automount和启用密码的ssh密钥和ssh-agent在ubuntu中 获取IP地址并设置为variablesbash shell脚本 什么会导致NetApp Snapvault存在大量的快照滞后? 如何增加Windows服务启动超时 APC&PHP.INI SE4 PHP崩溃后,IIS 7.5会停止响应请求,直到重新启动整个服务

如何让本地networking访问第二个专用的Web服务器行?

在我的办公室,我们有两个独立的互联网线。 一个是一般的办公室互联网,另一个是networking服务器的专用线。 我尝试使用vlan将专用连接到我们的交换机上,以便通过本地networking访问networking服务器,而不是通过互联网返回,但是我一直无法使其工作。

我想如果我有一个VLAN上的专用线和networking服务器端口,并在两个VLAN上标记Web服务器端口,它应该工作。 我尝试给networking服务器在不同的子网192.168.2.x,第二个IP比本地networking(更安全吗?),并给公司服务器也有IP,那没有工作(这是否仍然需要静态路由??),所以我把它放在同一个子网(1.x),然后我可以在本地访问它,但它不再使用它的第一个静态IP,因此不再联机。 我尝试将Web服务器端口移回到第一个VLAN(本地),并保持它在两个VLAN的标签,并没有工作。

我是否试图以正确的方式做到这一点? 我应该有任何安全问题关于他们这样的连接?

谢谢你的帮助。 标记

如果您的networking服务器有两个以太网端口(现在大多数服务器都这样做),那么我会在交换机上新build一个“DMZ”VLAN,将第二个networking服务器端口放入其中,在路由器上进行configuration(路由器 – 交换机连接应该是VLAN中继),并在办公室路由器上通过DMZnetworkingIPconfiguration到公共networkingIP的静态路由,在networking服务器上通过路由器的DMZ IP到办公室networking的静态路由。

你还没有指定如何/如果NAT正在完成,或者如果你只是MIP /全翻译静态IP到专用或…

那么,粗略地说,这是我该怎么做(向下滚动为ASCII图爱<3) 

.-,( ),-. .-( )-. ( teh internets ) '-( ).-' .-----'-.( ).-'----. | | | | __v___ __v___ LAN Line |_ooo_x| |_ooo_x| Dedicated Server Line | | | | [69.70.2xx.21] [75.120.1xx.37] | | | | | | '-->eth0 eth1<--' ............................. _*______*_ ........................... . .-------eth2*.[_...__...o]*eth3 -------. . . | . ROUTER/SW . | . . | . . | . . [192.168.1.0/24] . . [172.16.32.0/24] . . | . . | . . | . . | . . v . . | . . ____ __ . . | . . | | |==| . . | . . |____| | | . . | . . /::::/ |__| . . | ____ . . ____ __ ____ __ . . v |====| . . | | |==| | | |==| . . eth0*| | . . |____| | | |____| | | . . | | . . /::::/ |__| /::::/ |__| . . |____| . . . . . . Local Network . . Web Server . ............................. ........................... [vlan1 - LAN] [vlan2 - DMZ] .----------------------------------------------. | Abstract Routing/Vlan device Config | | | | 192.168.1.0/24 => NAT on 69.70.2xx.21 | | | | Full NAT/Mapping: | | 75.120.1xx.37 => MAP to 172.16.32.X [Server] | | 172.16.32.X => NAT on 75.120.1xx.37 | | | | Route LAN => DMZ traffic | | 192.168.1.0/24 => 172.16.32.0/24 | | (filtered, ex: TCP DST 22/80/443) | | | | Deny outbound DMZ => LAN traffic: | | 172.16.32.0/24 =>X 192.168.1.0/24 [DENY] | | (except related) | '----------------------------------------------'

请注意,您可以将端口replace为VLAN,并将该架构中类似虚拟路由器的设备replace为多个路由器/ NAT设备和交换机/ VLAN的组合。 但这是通用的想法。 我可能会去映射/完整的NAT,而不是添加额外的网卡到Web服务器路由回到局域网。

过滤stream量也很好 – 允许/某些/从您的本地networking访问DMZ,这是整个点,并防止networking服务器直接访问您的局域网。 有用的,在中断的情况下。

神话类路由器设备的可能替代scheme: 

 .---------------------------. | Multiple NAT Devices | | (Requires Router Switch, | | or extra Router) | '---------------------------' .-,( ),-. .-----------------------> .-( )-. | .--->( interwebs ) 69.70.2xx.21 | '-( ).-' | 75.120.1xx.37 '-.( ).-' | | __________ __________ .->|____oooo_x| |____oooo_x|<---. | LAN Line Server Line | | (NAT) (NAT) | | | **|**************** ******************| 192.168.1.0/24 __Managed Switch____ 172.16.32.0/24 * '--------[_::::::::::::::::::x]--------' * ^ * * ^ * * | * * | * *LAN VLAN****|***** ******|**DMZ VLAN* | | | __________ | '-[_...__...x]--' route/filtering 192.168.1.0/24 <=> 172.16.32.0/24

这种情况意味着每个VLAN中的机器都有一个路由给对方的子网,每个VLAN的NAT设备都是它们各自的默认网关。

或者如果你真的有一个“真正的”边缘设备(这将是非常好的): 

 .---------------------------. | Simple NAT Device | | + ASA/Edge Firewall | '---------------------------' .-,( ),-. .-----------------------> .-( )-. | ( interwebs ) 69.70.2xx.21 '-( ).-' | '-.( ).-' ______ ^ .--->|_ooo_x| .--------' | LAN Line | | (Office NAT) 75.120.1xx.37 | | 192.168.1.0/24 | | _[Out Int.]_____ ******|************* [_...________...x][DMZ Int.] * ___|__________ * ^ [In Int.] | * [_::::::::::::x] * / | ************|******* * Switch ^ * / | * 172.16.32.0/24 * '-------192.168.1.0/24----' * _ | * * * / * |=| | * *LAN VLAN*********** / * |_| v * / * Web Server * .--------------------------------------. * * . route/filtering . ***********DMZ VLAN* . on Edge FW, between In and DMZ . . 192.168.1.0/24 <=> 172.16.32.0/24 . . (Previous pseudo-rules/routes apply) . '--------------------------------------'

或者,如果你的服务器真的是直接连接,没有任何NAT(更好的过滤和运行): 

 .------------------------------------------------------. | Single Office NAT + | | Server w/ Direct, Routable IP | | (Requires second NIC, and a lot of manual, | | separate, OS-specific filtering done on the server) | '------------------------------------------------------' .-,( ),-. .-----------------------> .-( )-. | ( interwebs ) 69.70.2xx.21 '-( ).-' | '-.( ).-' ______ | .----->|_ooo_x| | | LAN Line | | (Office NAT) 75.120.1xx.37 | | 192.168.1.0/24 | | | ******|************* v * ___|__________ * eth0 * [_::::::::::::x] * __ * Switch ^ * _______ |==| * '--192.168.1.0/24--|___|___|---eth1| | * * |_|___|_| |__| *LAN VLAN*********** Firewall Web Server (On server) .--------------------------------------------------------------------. . "pseudo DMZ" enforced by fw rules on Server. . . No routing required. Defeats the entire point, too. . . Attacker on Server can potentially alter ruleset and poke at LAN. . '--------------------------------------------------------------------'

但是,这不是很好,安全明智。 随意组合场景。 如果你需要更多的细节,请随时问:)

希望这有些帮助。 另外,自从我做了ASCII图表以来,这已经有一段时间了。 D在这里玩得很开心