[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Свой сервер и локальная сеть
Форум PHP программистов > Установка и администрирование ПО
rooor
31.03.2015 - 14:53
И снова вопрос про сервер. Что-то зачастили они последнее время smile.gif

Есть возможность развернуть свой сервер на виртуалке, на корпоративном сервере.
Какие последствия тут могут быть в плане безопасности?
Т.е. примерно вижу так: на основном сервере будет проброшен 80 порт на вебсервер, который будет на виртуалке. IP вебсервера будет такой же, как и во всей локальной сети.

По идее, если кто-то получит доступ к этому серверу, то и ко всей сети, правильно я понимаю? Как можно обезопаситься?

Где можно почитать про подобные схемы? Немного гуглил, или ничего путного, или статьи начала 2000х годов
inpost
31.03.2015 - 17:21
rooor
А ты уверен, что он должен быть локальным? Может быть за копеечку отдельную сеть протянуть не связывая общую с сервером?

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
rooor
31.03.2015 - 20:49
inpost
ну тут как... внешний IP один. На основном сервере. Вариант только - пробросить порт до виртуалки
paul85
31.03.2015 - 21:10
Цитата (rooor @ 31.03.2015 - 14:53)
Как можно обезопаситься?

Грамотной сетевой архитектурой. В случае, когда присутствуют внешние и внутренние серверы, адекватнее всего организовать архитектуру c DMZ.

Ни в коем случае нельзя допускать, чтобы "внешние" серверы имели неконтролируемый доступ к корпоративной сети. Это грубейшая ошибка.

Ну и всё, остальное border роутером/фаерволом. Запретить серверу исходящие соединения на внутреннюю сеть, и дела в шляпе.

rooor
31.03.2015 - 21:21
paul85
iptables решает?)
rooor
31.03.2015 - 21:23
У меня основной вопрос в чём... чтобы не пострадала корпоративная сеть. На виртуалке будет крутится несколько сайтов, с небольшим посещением, + в основном оно мне надо больше для личных нужд
paul85
31.03.2015 - 21:46
Цитата (rooor @ 31.03.2015 - 21:23)
У меня основной вопрос в чём... чтобы не пострадала корпоративная сеть.

Но я все-равно не понял. =) То есть вам выделают виртуальный сервер. Один. И пробрасывают на него порт 80. Ну вот пусть администритор или тот кто отвечает за сервер и думает насчет безопасности. Это его хлеб. wink.gif

Или физ. сервер полностью в вашем распоряжении? Тогда на одну виртуалку вешайте все что во вне. А на другую все что внутрь. А там дальше фаерволить где-то... Не знаю как там у вас все сделано...

Ну либо на один виртуальный сервер можно повесить. Но надо обязательно добиться того, чтобы сам сервер (виртуальный) не имел возможности исходящих (инициируемых сервером) соединений во внутреннюю сеть. Даже если злоумышленник получит полный доступ к виртуалке, то он не сможет оттуда ничего сделать.

Естественно, ограничивать доступ нужно фаерволом вне виртульной машины. Ну где-то... На хост-ОС, например. =) Не могу сказать где именно. Схема DMZ в каком-то виде. =)

P.s. На iptables закрываются TCP SYN пакеты; и через машину состояний UDP NEW.

inpost
1.04.2015 - 03:48
rooor
Я не умею администрировать, поэтому я бы сделал отдельную сеть, отдельный внешний доступ, а не внутренний.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
stump
1.04.2015 - 17:51
Толковый админ все разрулит на раз и смастерит надежную сеть, с надежным сервером.

_____________
Трус не играет в хокей
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.