GD Star Rating
loading...
loading...
Пацаны, тут у меня на работе такая оказия приключилась. Есть сервак с прямым доступом в инет и внутреннюю сеть предприятия, и корпоративный сайт на нем, которой обслуживает сторонняя организация, посредством фтп.
И вот руководство решает отдать сервер полностью под контроль сторонней организации, с полным доступом к ресурсам сервера.
Не хотелось бы пускать левых людей в локальную сеть, но раньше никогда такое делать не приходилось, и на ум приходит только связать отдельным vlanом шлюз локальной сети и этот сервер, и на шлюзе закрыть фаером доступ в обе стороны по всем портам кроме 80 и 443.
Выручайте, в правильном направлении мыслю, или есть варианты элегантней?
А сервак в домене?
Если нет, то в чём проблема? Если да, то, может, выпнуть его оттуда?
На нём же только сайт крутится?
сервак на генте, не в домене. но у него максимальная нагрузка идет именно с внутренней сети. выпну из локалки – траф пойдет огого какой.
огого какой трафик к веб-серваку на генте в локальной сети? Что там такое может быть?
ну ты из локаки продумай маршруты, чтоб не через полстраны к твоему серверу доступ был. по сути, в нормальный ДМЗ засунуть его или просто, чтоб через твой роутер только трафик шел и будет не так уж и плохо уже.
если на бордере железо ахти какое, то давай тогда уже конкретные цифры – что где и сколько. сколько трафа на сервак приходит и сколько из него локального, сколько роутер может и прочее. тогда можно думать.
ибо практический опыт говорит, что админы говорят, что вся локалка с сервером работает, а по статистике – на серваке пики раз в неделю до 5 мегабит. остальное время тишина на уровне 500 кбпс.
битрикс 🙂 там все документы, инструкции, приказы, задачи и заявки для всех офисов
вопрос, как организовать DMZ, vlanами через l3-свитч, или как то еще?
Там просто битрикс сидит, который централизирует все офисы на предмет каких то документов, задач, заявок, бизнес-процессов, разных инструкций, вот это всё + менеджеры общаются с поставщиками, прикладывают какие то сканы туда, документы (мы сеть продуктовых магазинов) потому траф реально большой, а провайдеры в замкадье не дают юрлицам огромные каналы.
ну так а в чём проблема тогда с доступом? Ты собираешься аутсорцу отдать все пароли от домена?
Ну и будет у них маршрут в локаль, а толку с него?
дмз это дмз, влан это влан.
Дмз просто на роутере обычно настраивается
а л3 свитч ради одного гентушного сервачка – это шибко богато
левых людей в локалку нельзя, а на сервер с этим всем можно?
ну одно дело документы менеджеров, другое дело доступ к базам например или юридическим документам фирмы
домен там в любом случае доступен на чтение как минимум – php-ldap же, все дела. просто не хотелось бы давать доступ к остальным ресурсам. самба, рдп и тд.
Какая беспросветная чушь несется в этом посте…
класическая схема ДМЗ с одним роутером
соотв. подключаешь свой веб сервак к роутеру на отдельную сетевуху. пишешь правила файрвола, кто откуда и куда и все. не надо громоздить супер схем. главное, чтоб у тебя роутер смог прожевать трафик между сервером и пользователями. это будет наверняка, если там не совсем длин на метре роутера/файрвола
ну так и озарил бы мудростью
Если ты закроешь 80 и 443 TCP то у чуваков будет хуй, а не FTP/SSH.
между закрытием 80 и 443 TCP и хуем вместо FTP/SSH у чуваков нет прямой связи
роутер с несколькими подсетями? для небольшого офиса zywall вполне ок.