我想在相同的标准端口上安装冗余的互联网访问(NAT)networking服务器。 如果我只有一个公开可用的地址,我必须使用反向代理或负载均衡器? 如果我可以获得更多的公共地址空间(而不是NAT),我必须将该空间子网以使其可路由吗?
我想模拟一个类似于DMZ的场景,其中server1(DMZ,10.1.1.0内)应该能够响应任何传入连接,并且不能自行创build新的传出连接。 如果有人提供了一个实例,我将不胜感激。 例: 我正在做一个简单的testing。 我正在从10.2.2.10访问10.1.1.10托pipe的网页。 所以如果这个规则是允许所有传入和只有相关/build立传出,我应该能够打开网页,并做所有的东西。 但有了这个规则,我无法访问网页。 如果我从10.2.2.10(server2)执行nc -v 80。 我获得成功,也可以看到在tshark传入的数据包 我尝试了一个iptables的规则,但它不工作,我期望的方式 *filter -A INPUT -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state –state NEW -j DROP -A OUTPUT -j ACCEPT -m state –state ESTABLISHED,RELATED COMMIT iptables -L -nv输出 iptables -L -nv Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target […]
我正在将服务器机房迁移到数据中心,现在是审查当前安全区域设置的好时机。我们正在使用Vsphere 4 Standard和Cisco ASA 5510防火墙。 目前,防火墙是所有DMZ,LAN,WAN和后端区域的单一连接点,因此所有区域之间的所有stream量都会穿越此100 Mb / s防火墙设备。 这工作了一段时间,但是我们部署的新服务将需要一些区域之间的快速连接,即数据库查询和文件传输,因此100Mb / s将成为瓶颈。 为DMZ提供的可能解决scheme之一: – 为每个DMZ主机使用单独的VNIC,一个用于客户从WAN访问的外部连接,一个用于连接到后端/ LAN区域。 – 因此,VNIC1连接到防火墙,用于过滤外部不可信的连接。然而,VNIC2通过安装防火墙,并且所有的过滤都在iptables级别或Windows 2008防火墙上完成。这解决了防火墙强加DMZ和后端之间带宽限制的问题。 然而,这种devise去除了我们以前使用过的一个设备的集中安全模型,并且创build了与服务器绑定的分散的iptables设置的pipe理难题。 应该有更好的方法去做,你会有什么build议? 我有一种感觉,Vsphere Enterprise Plus中的function可能对此有所帮助,例如分布式交换机和vShield区域。 我们计划在明年拿到它,但即使这有助于我们仍然需要一些解决scheme。 我将不胜感激任何build议或阅读材料, 非常感谢 谢尔盖
我有一个正在编写内部网和外部网站的开发者团队。 该网站由DMZ内的两台服务器和一个负载均衡器组成。 DMZ有一个针对局域网(http / 80)开放的针孔,用于公开来自局域网的API服务。 例如WAN – > haproxy – > web01(+ web02) – > pinhole – > LAN服务(haproxy – > lan01 / lan02) 问题在于开发者把所有的服务都放在了局域网上,包括那些只运行网站的服务。 即web01 / 02在这一点上只是作为一个合并者。 更糟糕的是,局域网服务已经被绑定到我们的AD基础设施中,并且内部API暴露在DMZ中,因为内部/外部API都在端口80上运行。 开发人员不希望将他们的API拆分为“内部”和“外部”视图,而这些API目前没有authentication/授权。 由于使用本地文件存储,某些服务也只能在“lan01”而不是“lan02”上运行 – 即没有高可用性。 现在整个内部公司的信息结构(DNS,AD)依赖于外部网站的运作。 没有安全实践的概念,即某些LAN API作为“系统”级权限运行,并且无法控制开发人员所说的系统(因为他们具有域pipe理员凭证) 我build议将大部分网站提供服务移回非军事区,并locking这些服务,但被告知开发者无法区分什么是“局域网”应用程序和什么是互联网应用程序。 任何人都有如何处理这个问题的build议? 它看起来像一个等待发生的安全噩梦。
我们需要跟踪特定页面上的点击数,以了解使用统计数据,评估客户需求等。更具体地说,我们需要跟踪内部DMZ网段以查看此页面上的点击数。 Google Analytics显示来自其他网段的stream量,但不包含此stream量。 是否有某些networkingconfiguration会阻止Google统计信息收集?
我们正在build立一个符合PCI标准的基础架构,其中大部分应用程序都在不含敏感信息的DMZ(非军事区)中运行。 包含敏感信息的部分被保护在私有子网中。 我们有两个问题。 首先是进入的一些请求将包含敏感信息。 我们的解决scheme是在安全networking中创build反向代理(不在DMZ中 – 因此代理将受审计),将请求路由到DMZ或安全专用子网。 如果请求进入安全networking,则安全networking将存储敏感信息,然后将请求路由到DMZ,而没有该信息继续处理。 如果我们这样做,DMZ是否能够通过代理向用户返回响应? 问题在于代理将面向公众。 它不会存储敏感信息,但它们会通过它,因此,它将受到审计和安全。 第二个问题是我们有一个特定的文件,需要从PCI兼容服务器提供。 由于我们的兼容服务器是在一个专用networking中,我们怎么做到这一点? 我们应该创build一个面向公众的小型服务器来提供这个文件吗? 什么是这个问题的其他解决scheme? 谢谢,
有没有办法使用uPnp或其他东西来自动请求路由器/防火墙redirect到外部的数据到运行Ubuntu的机器? 这里的交易,我应该准备一定数量的机器,这将作为信息亭,他们将被派往海外; 那些收到他们的人应该只是插入交stream和局域网电缆,没有更多。 现在,我需要打开一些端口来控制这些机器(ssh),我不会在那里configuration他们的路由器。 谁来接通他们将是完全无能的,只想插上电源,做好准备和工作。 我也可以像这样重新构造这个问题:当我运行no-ip守护进程时,我想让机器回答,而不是路由器。 非常感谢您的耐心
networking拓扑结构: ISP1 | | Alternative ISP 4G | | | Huawei 4G with DMZ | | | to 192.168.2.1 | | | LAN IP: 192.168.2.254| | | Public IP: 2.2.2.2 | ———————+ +———————-+ | +—-Main server—+ | +————eth0–| WWW, MAIL, SSH |-eth1———–+ Public IP:1.1.1.1| DNS, etc… | +——————+ Local IP: 192.168.2.1 eth2| GW: 192.168.2.254 10.10.10.10| […]
我有一个这样的networking: ADSL VLAN 2 VLAN 3 ——[Modem]———-[firewall]———-[intranet PC] | | VLAN 4 \————-[DMZ server] 我想设置端口转发,将DMZ中的Web服务器暴露给Internet。 IP是: 调制解调器:192.168.0.1 防火墙eth0.2:192.168.0.126 防火墙eth0.3:192.168.1.1 防火墙eth0.4:192.168.2.1 PC:192.168.1.2 服务器:192.168.2.2 我打开调制解调器上的端口80和443,并将它们转发到防火墙(192.168.0.126)。 我在防火墙的iptables中有这些规则: NAT: -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A PREROUTING -d 192.168.0.126/32 -p tcp -m multiport –dports 80,443 \ -j DNAT –to-destination 192.168.2.2 -A PREROUTING -d […]
我是Sharepoint开发人员,并被要求在DMZ内部署Sharepoint服务器,该服务器将从公司局域网访问。 目前,DMZ具有公共IP(受防火墙保护),公司LAN通过站点到站点VPN连接到该DMZ,以便访问托pipe在那里的应用程序。 Sharepoint的引入要求我们将DMZ中的Sharepoint服务器放到企业networking的Active Directory域中,但这已被拒绝。 接下来发生的事情是在DMZ中将设置一个新的域控制器,并且应该存在单向信任,以便公司LAN中的用户可以在Sharepoint服务器上进行身份validation。 DMZ中的服务器无法看到企业局域网,也不会出现这种情况,所以我们提出的build议是,(我们的DMZ AD中的)二级域控制器将与企业LAN和DMZnetworking连接在一起。 据推测,在DMZ的应用程序中进行身份validation的用户将凭借其中一个DC在两个networking上工作。 我对此设置有疑问,并希望将公司LAN扩展为包含Sharepoint服务器并将其join公司域。 仅仅因为一个DC将在企业局域网中,如果Sharepoint服务器只能在DMZ中看到DC,当用户点击Sharepoint服务器并尝试进行信任login时会发生什么情况? 在这种情况下有2个DC有什么意义吗? 多宿主DC是否要走,还是应该制定DMZ服务器能够访问企业LAN的规则?