Firewall, Port Forwarding, DMZ

0

1

Приветствую уважаемое комюнити,

прошу совета, как лучше организовать проброс портов для офиса.
Сейчас все выглядит примерно так:

http://s33.postimg.org/6cgt5pby7/scheme.png

Т.е. есть сервера как zabbix,bacula,web-service, которые находятся в локальной сети. Есть сервера, которые расположены далеко в интернетах.
Так вот, порты для бакулы, заббикса проброшены прямо в локалку и соединения на эти порты лимитированы ипишниками серверов, которые требуют эти соединения. Есть предположения, что такая схема - это не совсем хорошо и лучше бы эти сервера переместить в зону DMZ.

Но сервера, которые находятся в локальной сети, также требуют мониторинга и бекапов..т.е. надо будет отправлять их соединения с необходимыми сервисами в DMZ...

Спасибо за советы и критику.

Ссылка

←	OpenVPN: Использовать VPN только для адресов из списка?

ubuntu ломает фс

→

Но сервера, которые находятся в локальной сети, также требуют мониторинга и бекапов

их тоже в dmz

anonymous
(24.05.16 17:52:44 MSK)

Ответ на: комментарий от anonymous 24.05.16 17:52:44 MSK

и вообще всю локалку в DMZ...

kbu ★
(24.05.16 17:54:04 MSK) автор топика

Ответ на: комментарий от kbu 24.05.16 17:54:04 MSK

если там только сервера, то — да

anonymous
(24.05.16 17:57:17 MSK)

Ссылка

Параноя, но... раз у вас есть такое «соединения на эти порты лимитированы ипишниками серверов» то не проще ли поднять тунели до тех серверов кому это нужно и не пробрасывать порты?

anc ★★★★★
(24.05.16 18:54:34 MSK)

Ответ на: комментарий от anc 24.05.16 18:54:34 MSK

Возможно Вы правы

kbu ★
(24.05.16 19:02:29 MSK) автор топика

Ответ на: комментарий от kbu 24.05.16 19:02:29 MSK

А так, если вы не опасаетесь «соседей» и взлома удаленных серверов то в принципе пофигу.

anc ★★★★★
(24.05.16 19:08:02 MSK)

Ответ на: комментарий от anc 24.05.16 19:08:02 MSK

мне кажется безопасности никогда не бывает много :)

kbu ★
(24.05.16 19:08:33 MSK) автор топика

Ответ на: комментарий от kbu 24.05.16 19:08:33 MSK

Ну полной нагрузки мы не знаем, но смею предположить что например таже bacula у вас на локалку в основном работает, перенос ее создаст доп. нагрузку на роутер. Тут всю схему надо рассматривать, т.е. кто клиент кто сервер и т.д. и на основании этого и «чесать» свою «паранойю» :)

anc ★★★★★
(24.05.16 19:13:31 MSK)

Ответ на: комментарий от anc 24.05.16 19:13:31 MSK

Большинство серверов конечно из локалки. Из инета всего 5 к bacula идут

kbu ★
(24.05.16 19:17:06 MSK) автор топика
Последнее исправление: kbu 24.05.16 19:21:13 MSK (всего исправлений: 1)

Ссылка

Я как понимаю речь идет не о публичных сервиса для розничных подключений, а о изолированной инфраструктуре, центральном офисе и филиалах или клиентах.

А возможность создания VPN туннелей отсутвует? Это упростит построение и эксплуатацию. Можно как сети объеденить, так и индивидуально сервера.
Если возможности нет, то к открытию портов, в сервисах zabbix, bacula, рекомендую шифрование использовать.

petav ★★★★★
(28.05.16 10:19:20 MSK)

Ответ на: комментарий от petav 28.05.16 10:19:20 MSK

Спасибо, именно так и поступаю :)

kbu ★
(30.05.16 10:27:32 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN: Использовать VPN только для адресов из списка?

Admin

ubuntu ломает фс

→

Похожие темы