LINUX.ORG.RU
ФорумAdmin

Firewall, Port Forwarding, DMZ

 


0

1

Приветствую уважаемое комюнити,

прошу совета, как лучше организовать проброс портов для офиса.
Сейчас все выглядит примерно так:

http://s33.postimg.org/6cgt5pby7/scheme.png


Т.е. есть сервера как zabbix,bacula,web-service, которые находятся в локальной сети. Есть сервера, которые расположены далеко в интернетах.
Так вот, порты для бакулы, заббикса проброшены прямо в локалку и соединения на эти порты лимитированы ипишниками серверов, которые требуют эти соединения. Есть предположения, что такая схема - это не совсем хорошо и лучше бы эти сервера переместить в зону DMZ.

Но сервера, которые находятся в локальной сети, также требуют мониторинга и бекапов..т.е. надо будет отправлять их соединения с необходимыми сервисами в DMZ...

Спасибо за советы и критику.


Но сервера, которые находятся в локальной сети, также требуют мониторинга и бекапов

их тоже в dmz

anonymous
()
Ответ на: комментарий от kbu

если там только сервера, то — да

anonymous
()

Параноя, но... раз у вас есть такое «соединения на эти порты лимитированы ипишниками серверов» то не проще ли поднять тунели до тех серверов кому это нужно и не пробрасывать порты?

anc ★★★★★
()
Ответ на: комментарий от kbu

Ну полной нагрузки мы не знаем, но смею предположить что например таже bacula у вас на локалку в основном работает, перенос ее создаст доп. нагрузку на роутер. Тут всю схему надо рассматривать, т.е. кто клиент кто сервер и т.д. и на основании этого и «чесать» свою «паранойю» :)

anc ★★★★★
()
Ответ на: комментарий от anc

Большинство серверов конечно из локалки. Из инета всего 5 к bacula идут

kbu
() автор топика
Последнее исправление: kbu (всего исправлений: 1)

Я как понимаю речь идет не о публичных сервиса для розничных подключений, а о изолированной инфраструктуре, центральном офисе и филиалах или клиентах.

  • А возможность создания VPN туннелей отсутвует? Это упростит построение и эксплуатацию. Можно как сети объеденить, так и индивидуально сервера.
  • Если возможности нет, то к открытию портов, в сервисах zabbix, bacula, рекомендую шифрование использовать.
petav ★★★★★
()
Ответ на: комментарий от petav

Спасибо, именно так и поступаю :)

kbu
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.