服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 基于域的端口转发与VLAN路由
Intereting Posts
随着年龄的增长,修剪备份文件 强制程序只使用特定的本地端口 思科2901 Google Cloud VPN的站点到站点VPN 如何在PHP中安装GD库? 如果我从RAID 5中删除一个完美的工作磁盘,并在几分钟后放回去,会发生什么情况? 使用Powershell获取无法送达的电子邮件地址 VPS经常打tcpsndbuf Nginx:从基本域重写到一个子目录 FreeBSD 10.1路由问题 iptables俘虏门户移除用户 为什么Puppet在每次运行后创build这些文件? 防止Apache mod_deflate压缩空的302redirect响应 如何使PuTTY设置持久? 重写为https没有证书? 当ssh进入EC2时,获得'Permission denied(publickey)'错误

基于域的端口转发与VLAN路由

在我的新工作空间中,我想build立一个networking,使我能够在基于不同域(多个网站)的networking外部(受控)访问的开发,testing和接受服务器(VM)上部署我的Web开发工作。 另外我想通过VPN远程访问我的networking。

然而,挑战是我们共享了内部networking,而我自己却无法控制路由器/防火墙(networking由外部pipe理)。 一个图解和很好解释的请求是他们需要为了应用一个新的configuration。

我对networking的知识有限,但研究让我相信我的networking设置应该是可能的。 有人可以确认/评论我的想法关于可行性/最佳实践吗?

  1. 我的工作空间有一个光纤(FTTO)连接,公共IP为176.xx.xx.xxx。 networkingstream量由瞻博networkingSSG20防火墙(我无法控制,但有一个公共Web界面在80端口上运行)控制。 内部networking有192.168.30.0/24范围。
  2. 我有一个支持VLAN的Netgear Prosafe GS105E交换机。
  3. 我有一台戴尔服务器,带有5台虚拟机(运行Ubuntu 12.04 Srv)的VMware vSphere Hypervisor服务器(ESXi):
    • (A)VM:文件服务器(只对本地工作站进行内部访问(E)
    • (B)VM:Webserver(Dev)应该处理dev.domain-1.com
    • (C)VM:Webserver(testing)应该处理test.domain-1.com
    • (D)VM:Webserver(Accept)应该处理accept.domain-1.com
    • 戴尔服务器有3个网卡,我可以创build虚拟交换机来处理VLAN路由。
  4. 我有一个eth0接口的多function打印机(F),只能在VLAN内访问。
  5. 现有的苹果机场也提供WiFi在同一个子网上,但我可以隐藏我的虚拟机,以便他们不能被其他人在大楼访问(VLANconfiguration我猜)。

实质上,我的目标是:

  • 基于域的端口转发(80,443,5000,8080)
  • dev.domain-a.com – > 192.168.1.10(VM:B)
  • dev.domain-b.com – >“”“”“
  • test.domain-a.com – > 192.168.1.11(VM:C)
  • test.domain-b.com – >“”“”“
  • accept.domain-a.com – > 192.168.1.12(VM:D)
  • 限制只能从本地工作站访问文件服务器(VM:A)
  • 能够通过VPN访问networking(和文件服务器)

相关问题:

  • 是否必须在新的ESXi虚拟机上configuration反向代理才能从外部parsing本地计算机(Ubuntu上的Pound Reverse Proxy服务器如何)?
  • 瞻博networkingSSG20防火墙是否需要将本地服务器/ VLAN添加到DMZ?
  • 如果我想为端口80提供端口转发,那么瞻博networkingSSG20防火墙如何仍能访问Web(端口80)? 是否必须将规则添加到反向代理中,将stream量redirect回防火墙?

任何想法都会非常非常有帮助,以便我可以通过物业经理向外部networkingpipe理方提出请求。

请参阅networking布局图: http://onbeperktmedia.nl/upload/network_scheme_oldschoolproj.png

是否必须在新的ESXi虚拟机上configuration反向代理才能从外部parsing本地计算机(Ubuntu上的Pound Reverse Proxy服务器如何)?

根据您的要求/目标列表,不需要反向代理。 您真正需要的是专用的Internet / WAN IP和SSG20设置中的一些基本的NAT / MIP规则。 如果需要,您可以通过SSG20上的防火墙规则locking此访问权限(例如,哪些客户端IP可以进入等等)

瞻博networkingSSG20防火墙是否需要将本地服务器/ VLAN添加到DMZ?

不,但你需要有多个外部IP地址可用来进行直接NAT(在瞻博networking上它将是一个静态的NAT,他们称之为MIP / mappedIP)。 在这种情况下,每个内部虚拟机(dev / test / accept)都会有一个外部IP,以便在内部翻译之外轻松完成。

否则,您需要PAT或瞻博networking呼叫SSG上的VIP,并在不同的端口上侦听。 这意味着如果你只需要一个外部IP,那么你需要做一些正常的端口监听开发,然后增加像81/444/5001/8081这样的testing等等。 然后在SSG20中,将externalIP:81映射到192.168.1.11:80,但是这实际上是一个PITA,只是从提供商那里获得一些额外的外部IP。

如果我想为端口80提供端口转发,那么瞻博networkingSSG20防火墙如何仍能访问Web(端口80)?

我假设你的意思是外部访问SSG20的pipe理员webui? 就个人而言,不应该打开…安全漏洞,特别是只是HTTP。 pipe理员/责任方应通过https将其locking到不同的侦听端口,并将其限制到其传入的客户端IP范围。 但是,我又回到了多个外部IP 。 如果您的虚拟机拥有专用的IP,那么仍然可以(尽pipe不推荐)让他们在Juniper SSG20上保持正常的外部WAN IP和端口80的打开状态。

是否必须将规则添加到反向代理中,将stream量redirect回防火墙?

不,这是不必要的。 所有你需要的是确保虚拟机可以路由到Juniper(正常的互联网stream量)。 如果他们已经可以,那么他们就完成了。 除非您需要将每个虚拟机分割并且无法发送其他stream量,否则您甚至不需要使用虚拟机networking,但是您可以在虚拟机的操作系统中轻松完成此操作。