По какой-то странной причине я всегда мечтал о том, чтобы разместить свой собственный веб-сайт дома...
Я знаю, что с точки зрения безопасности это не самая лучшая вещь в мире, но сегодня я ищу новые советы по этому поводу.
Честно говоря, я считаю, что лучшим решением было бы поместить мой веб-сервер (фактически виртуальную машину, содержащую веб-сервер) в DMZ.
На данный момент моя сетевая структура выглядит следующим образом:
Не слишком сложно. То, что я хочу добавить, тоже очень просто:
Но если кто-то взломает мой веб-сервер, он фактически получит доступ ко всей сети (192.168.1.0/24)
Какая будет схема, если я захочу поместить этот веб-сервер в собственную DMZ, полностью отделить от моей сети и иметь доступ только в Интернет и из Интернета? Как мне это реализовать?
На всякий случай я проверил, и мой провайдер НЕ блокирует порт 80.
EDIT: Я забыл упомянуть, если у меня динамический IP, но есть службы DDNS, я могу с помощью записей DNS создать CNAME, который будет указывать на реальный сайт, верно? Например:
myactualsite.com CNAME ddns.no-ip.org
myactualsite.com DNAME ddns.no-ip.org
решение1
Я не читал документацию pfSense, но предполагаю, что можно настроить один из нескольких портов Ethernet как порт DMZ с отдельной подсетью, так что psSense будет изолировать свой трафик от трафика вашей локальной сети, а затем вы установите правила, чтобы запретить скомпрометированным серверам DMZ инициировать подключения к вашим устройствам локальной сети.
,--------. LAN ,---------.
PC --------| switch |---------| pfSense |------ Intertubes
,-| | ,---| |
Server--' '--------' | '---------'
with |DMZ
secrets |
,--+---.
|web |
|server|
'------'
Я не уверен, как компьютер с Vmware ESXi может размещать устройство pfSense, но это кажется странным. Я бы хотел отдельное физическое устройство, предназначенное для безопасности.