我有一個伺服器(需要 DNS 和 Internet 存取)和一個專用網路。
我希望設備只需要連接到伺服器,保留在專用網路上,並且對公共互聯網不可見。
伺服器仍然需要與專用網路上的設備通信,並透過路由器訪問互聯網來處理信用卡交易。
問題:
這是正確的架構嗎?我可以將伺服器保留在專用網路 192.168.10.x 上並將網關保留在 192.168.100.x 上嗎?伺服器如何能夠到達不同子網路上的路由器? (我的伺服器只有一張網卡)
DSL
/\
Router/Firewall
|
Switch
|
Server
/ | \
PC PC PC
答案1
將所有東西插入開關。為伺服器提供一個可以適當存取 Internet 的固定位址以及 192.168.100.0/24 子網路上的位址。將伺服器上的預設路由設定為防火牆。在防火牆上阻止 192.168.100.0/24 子網路進出 Internet 的存取。
答案2
最簡單的方法是為伺服器新增另一個 NIC。一邊可以指向路由器,一邊可以指向 PC。
另一種方法是為伺服器提供兩個IP 位址(192.168.1.x 和192.168.2.x),將PC 放在192.168.2.x 上,將路由器放在192.168.1.x 上,並確保2. x 機器沒有通往 1.x 的路由。這有點可怕,但它會起作用。
當然,子網路號碼僅作為範例;把你想要的任何東西都放進去。
答案3
在不知道路由器的硬體類型的情況下,最簡單的方法是將所有裝置放在同一子網路上(伺服器和 PC)。您沒有說您的專用網路上的任何內容都需要可以從互聯網訪問,因此即使是最基本的路由器也會被設定為將 DHCP 位址(包括設定路由器的網關 IP)傳遞給專用網路並拒絕所有入站從網路存取專用網路。由於 PC 和伺服器位於同一子網路中,因此它們無需在網路之間路由即可相互存取。