1

Фон

Я разрабатываю настройки сервера для малого бизнеса, где я работаю. Мы хотим иметь возможность размещать наш собственный веб-сервер и другие сервисы в будущем на нашем собственном месте.

Будучи айтишником / сетевым парнем / генеральным техническим гуру, я учусь быть мастером на все руки. К сожалению, у меня мало опыта работы с сетями, но я учусь, и это было интересно.

Я читал о сети, и я считаю, что у меня есть достаточно четкое понимание того, что происходит с нашей сетью. Я понимаю принципы переадресации портов и идею о том, что маршрутизатор можно использовать как способ блокирования входящих подключений к службам. У меня также есть наш веб-сервер на базе Nginx, хотя я еще не выяснил, как подключить его к Интернету.

Кроме того, у нас на самом деле нет бюджета на новое оборудование, поэтому я справляюсь с кучей оборудования для домашних сетей, которое у нас есть. Если этого недостаточно, дайте мне знать, но я предполагаю, что это сработает.

Вот быстрый рисунок текущей настройки:

текущая настройка

Начиная сверху, толстая черная линия (представляющая собой соединение для передачи данных здания, Comcast) разделена на интернет на модеме. Здесь нет встроенной сети Ethernet - наш бизнес использует Wi-Fi в качестве метода использования Интернета. Таким образом, Wi-Fi роутер подключен напрямую к модему, потому что это единственное устройство на верхнем уровне. Wi-Fi роутер обслуживает интернет для повседневного использования.

описание проблемы

Безопасность

Я пытаюсь обеспечить безопасность веб-сервера от остальной части сети. Если сервер скомпрометирован, я не хочу, чтобы он влиял на компьютеры, которые мы используем для повседневной работы.

КПД

Я не хочу, чтобы из-за добавления сервера "повседневная" сеть слишком сильно замедлялась. Я также не хочу, чтобы сервер работал очень медленно из-за разметки сети.

Настроить

Как должны выглядеть IP-адреса, маски подсетей и соединения для каждого маршрутизатора?

Решения

Решение А

Это было первое решение, которое я придумал. Используя переключатель рабочей группы, я хотел дать обоим маршрутизаторам позиции верхнего уровня. Маршрутизатор сервера будет пересылать TCP-порт 80 (http).

Минусы:

  • Я не мог добраться до работы. Я предполагаю, что это потому, что оба маршрутизатора пытаются получить один и тот же назначенный Comcast публичный IP-адрес от модема. Каким-то образом маршрутизатор бизнес-сети будет нормально работать в этой настройке, но другой маршрутизатор не будет обновлять / освобождать IP-адреса или давать внешнее интернет-соединение (с причиной сбоя DNS). Хотя я пытался назначить каждому маршрутизатору разные IP-адреса (один 192.168.1.1, один 192.168.2.1), это не решило проблему.

Плюсы:

  • Хорошая безопасность. Если сервер скомпрометирован, он не может попасть в деловую сеть. В худшем случае это может перехватить трафик снаружи, но я не уверен, возможно ли это вообще.
  • Хорошая эффективность. Каждая сеть замедляется только переключателем рабочей группы.

Решение Б

Это было следующее решение, которое я придумал. Это настройка в стиле DMZ, которая позволяет серверу находиться за пределами бизнес-сети, но по-прежнему обслуживать HTTP.

Минусы:

  • В решении A я мог испортить серверный маршрутизатор, и для повседневной работы не было бы никаких последствий. Но в этом методе, если я испорчу конфигурацию маршрутизатора сервера, это будет проблемой для всех.
  • Плохая эффективность. Деловая сеть должна пройти через два маршрутизатора, чтобы попасть в Интернет.
  • Плохая безопасность сервера. Если один из рабочих компьютеров будет взломан, это может повредить сервер.

Плюсы:

  • Хорошая безопасность бизнес-сети. Сервер, если он скомпрометирован, не может получить доступ к другим компьютерам.
  • Правильно обрабатывает публичный IP. Это решение использует маршрутизатор в качестве элемента верхнего уровня, что означает, что он может использовать DHCP для назначения IP-адресов, которых нет в сетевом коммутаторе.

Решение С

Это решение аналогично первому решению, но вместо правильного управления IP-адресом используется маршрутизатор.

Минусы:

  • Плохая эффективность. Обе сети должны пройти через 2 маршрутизатора, чтобы получить интернет.

Плюсы:

  • Хорошая безопасность. Ни одна из сетей не может напрямую добраться до другой. В худшем случае я предполагаю, что может произойти перехват трафика (не уверен).
  • Правильно обрабатывает публичный IP. Это решение имеет устройство верхнего уровня, которое может использовать DHCP для сортировки IP-адресов.

Нижняя линия

Я не уверен, какое решение работает лучше всего. Есть ли лучшее решение, которое я еще не придумал?

Я также не уверен, как настроить лучшее решение, чтобы оно правильно и безопасно обслуживало Интернет для каждой сети. Что мне нужно сделать с IP-адресами, открытыми портами и масками подсетей для каждого маршрутизатора?

Примечание: я знаю, что ошибка сервера имеет низкую терпимость к вопросам, которые используют оборудование домашней сети. Это единственная причина, по которой я написал здесь - я хочу, чтобы на мой вопрос ответили, и я не хочу играть в политику. Если это неправильный сайт, я был бы признателен, если бы вы могли переместить его в правильное место. Благодарю.

1 ответ1

1

Исходя из трех предложенных вами вариантов, B является лучшим (IMO), поскольку он поддерживает сервер в сети периметра, а внутренний маршрутизатор защищает вашу внутреннюю бизнес-сеть от сети периметра (так что сервер не может получить доступ к бизнес-сети). ), используя при этом наименьшее количество оборудования.

"Реальный" ответ (опять же ИМО):

  • Получите маршрутизатор, который поддерживает надлежащую демилитаризованную зону (DMZ).
  • Поместите сервер в DMZ.
  • Убедитесь, что существуют маршруты между LAN и DMZ, а также WAN и DMZ.
  • Прибыль.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .