GD Star Rating
loading...

Пацаны, тут у меня на работе такая оказия приключилась. Есть сервак с прямым доступом в инет и внутреннюю сеть предприятия, и корпоративный сайт на нем, которой обслуживает сторонняя организация, посредством фтп.

И вот руководство решает отдать сервер полностью под контроль сторонней организации, с полным доступом к ресурсам сервера.
Не хотелось бы пускать левых людей в локальную сеть, но раньше никогда такое делать не приходилось, и на ум приходит только связать отдельным vlanом шлюз локальной сети и этот сервер, и на шлюзе закрыть фаером доступ в обе стороны по всем портам кроме 80 и 443.

Выручайте, в правильном направлении мыслю, или есть варианты элегантней?

Tagged with →  

18 Responses to DMZ для чайников пост.

  1. Fluen:

    А сервак в домене?
    Если нет, то в чём проблема? Если да, то, может, выпнуть его оттуда?
    На нём же только сайт крутится?

  2. Yotno:

    сервак на генте, не в домене. но у него максимальная нагрузка идет именно с внутренней сети. выпну из локалки – траф пойдет огого какой.

  3. TaCSm:

    огого какой трафик к веб-серваку на генте в локальной сети? Что там такое может быть?

  4. Irire:

    ну ты из локаки продумай маршруты, чтоб не через полстраны к твоему серверу доступ был. по сути, в нормальный ДМЗ засунуть его или просто, чтоб через твой роутер только трафик шел и будет не так уж и плохо уже.
    если на бордере железо ахти какое, то давай тогда уже конкретные цифры – что где и сколько. сколько трафа на сервак приходит и сколько из него локального, сколько роутер может и прочее. тогда можно думать.
    ибо практический опыт говорит, что админы говорят, что вся локалка с сервером работает, а по статистике – на серваке пики раз в неделю до 5 мегабит. остальное время тишина на уровне 500 кбпс.

  5. Yotno:

    битрикс 🙂 там все документы, инструкции, приказы, задачи и заявки для всех офисов

  6. Yotno:

    вопрос, как организовать DMZ, vlanами через l3-свитч, или как то еще?

    Там просто битрикс сидит, который централизирует все офисы на предмет каких то документов, задач, заявок, бизнес-процессов, разных инструкций, вот это всё + менеджеры общаются с поставщиками, прикладывают какие то сканы туда, документы (мы сеть продуктовых магазинов) потому траф реально большой, а провайдеры в замкадье не дают юрлицам огромные каналы.

  7. Fluen:

    ну так а в чём проблема тогда с доступом? Ты собираешься аутсорцу отдать все пароли от домена?
    Ну и будет у них маршрут в локаль, а толку с него?

  8. Fluen:

    дмз это дмз, влан это влан.
    Дмз просто на роутере обычно настраивается

  9. Fluen:

    а л3 свитч ради одного гентушного сервачка – это шибко богато

  10. TsiWin:

    левых людей в локалку нельзя, а на сервер с этим всем можно?

  11. Yotno:

    ну одно дело документы менеджеров, другое дело доступ к базам например или юридическим документам фирмы

  12. Yotno:

    домен там в любом случае доступен на чтение как минимум – php-ldap же, все дела. просто не хотелось бы давать доступ к остальным ресурсам. самба, рдп и тд.

  13. Giboff:

    Какая беспросветная чушь несется в этом посте…

  14. Irire:

    класическая схема ДМЗ с одним роутером

    www.hardblog.net  - сервера, компьютеры, ноутбуки, windows, linux, unix, nix

    соотв. подключаешь свой веб сервак к роутеру на отдельную сетевуху. пишешь правила файрвола, кто откуда и куда и все. не надо громоздить супер схем. главное, чтоб у тебя роутер смог прожевать трафик между сервером и пользователями. это будет наверняка, если там не совсем длин на метре роутера/файрвола

  15. Fluen:

    ну так и озарил бы мудростью

  16. HtoAdm:

    Если ты закроешь 80 и 443 TCP то у чуваков будет хуй, а не FTP/SSH.

  17. TaCSm:

    между закрытием 80 и 443 TCP и хуем вместо FTP/SSH у чуваков нет прямой связи

  18. Ag300:

    роутер с несколькими подсетями? для небольшого офиса zywall вполне ок.

Добавить комментарий