将私人网络服务器暴露给互联网

将私人网络服务器暴露给互联网

如何将我的一个装有网络服务器的私人网络盒暴露给互联网?

更严格地说,盒子 A 有两个接口:eth0tap1eth0用于连接到 ISP,我的 IP 是77.37.194.101。盒子 B 连接到tap1,在这个子网中,盒子 A 有 IP 10.1.1.1,盒子 B有10.1.1.16。如何使盒子 B 可以通过 访问互联网77.37.194.101

两台机器都有 Ubuntu。

答案1

一种选择是基因转移酶通过网络过滤器在方框 A 上:

iptables -t nat -A PREROUTING -p tcp -d 77.37.194.101 --dport 80 -j DNAT --to-destination 10.1.1.16.

这仅公开端口 80。

答案2

Tap 接口是虚拟的,通常用于虚拟化。如果是这种情况,您应该为 DMZ 创建另一个 tap 接口。将 DMZ tap 接口分配给虚拟服务器。DMZ 接口上不应为主机分配 IP,DMZ 中的任何机器也不应分配内部网络。然后使用 NAT 路由。这样,如果服务器被黑客入侵,就不会有内部网络连接主机和您可能拥有的任何其他机器或虚拟机。(虚拟化黑客攻击仍然存在小风险,但比让外部访问内部网络要安全得多。)

虚拟机和物理机的安全预防措施和路由应该相同。快速阅读任何标准防火墙的操作方法。(monowall、ipcop 等)

如果您只是在内部网络上进行 NAT 路由,那么您的 Web 服务器中的任何漏洞都会让您完全访问您的整个内部网络和主机以及内部网络上的所有虚拟机(如果这是虚拟的)。

Shell 访问和文件传输应通过 SSH 到虚拟进行,而不应通过内部共享文件访问(smb、nfs 等)进行。

相关内容