将私人网络服务器暴露给互联网

Question 1

iptables -t nat -A PREROUTING -p tcp -d 77.37.194.101 --dport 80 -j DNAT --to-destination 10.1.1.16.

这仅公开端口 80。

Answer

一种选择是基因转移酶通过网络过滤器在方框 A 上：

iptables -t nat -A PREROUTING -p tcp -d 77.37.194.101 --dport 80 -j DNAT --to-destination 10.1.1.16.

这仅公开端口 80。

Question 2

Tap 接口是虚拟的，通常用于虚拟化。如果是这种情况，您应该为 DMZ 创建另一个 tap 接口。将 DMZ tap 接口分配给虚拟服务器。DMZ 接口上不应为主机分配 IP，DMZ 中的任何机器也不应分配内部网络。然后使用 NAT 路由。这样，如果服务器被黑客入侵，就不会有内部网络连接主机和您可能拥有的任何其他机器或虚拟机。（虚拟化黑客攻击仍然存在小风险，但比让外部访问内部网络要安全得多。）

虚拟机和物理机的安全预防措施和路由应该相同。快速阅读任何标准防火墙的操作方法。（monowall、ipcop 等）

如果您只是在内部网络上进行 NAT 路由，那么您的 Web 服务器中的任何漏洞都会让您完全访问您的整个内部网络和主机以及内部网络上的所有虚拟机（如果这是虚拟的）。

Shell 访问和文件传输应通过 SSH 到虚拟进行，而不应通过内部共享文件访问（smb、nfs 等）进行。

Answer

Tap 接口是虚拟的，通常用于虚拟化。如果是这种情况，您应该为 DMZ 创建另一个 tap 接口。将 DMZ tap 接口分配给虚拟服务器。DMZ 接口上不应为主机分配 IP，DMZ 中的任何机器也不应分配内部网络。然后使用 NAT 路由。这样，如果服务器被黑客入侵，就不会有内部网络连接主机和您可能拥有的任何其他机器或虚拟机。（虚拟化黑客攻击仍然存在小风险，但比让外部访问内部网络要安全得多。）

虚拟机和物理机的安全预防措施和路由应该相同。快速阅读任何标准防火墙的操作方法。（monowall、ipcop 等）

如果您只是在内部网络上进行 NAT 路由，那么您的 Web 服务器中的任何漏洞都会让您完全访问您的整个内部网络和主机以及内部网络上的所有虚拟机（如果这是虚拟的）。

Shell 访问和文件传输应通过 SSH 到虚拟进行，而不应通过内部共享文件访问（smb、nfs 等）进行。

将私人网络服务器暴露给互联网

答案1

答案2

相关内容