Routing question

[Privet]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

А ведь действительно, домашняя машинка логически имеет прямую связь с серверной подсеткой через роутер и свичи! Я поставил другой IP на alias и действительно я сейчас имею полный доступ к серверам и к Интернету. Теперь не придётся бегать к серверам пока я не доделаю всю структуру сеток.

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

[f_evgeny]

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

Лично я бы делал как можно проще, через статический гейтвэй. А для повышения безопасности ходил если уж очень хочется и нужно пробросить какие-то сервисы, то подумал бы о туннелинге через SSH.
Но я:
- Не спец в данной области, так, старый линуксоид.
- Люблю простые решения.
Со сложными решениями одна проблема - через пару лет, когда вдруг перестанет работать, трудно вспомнить, что там было наворочено.

[Serb]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

А ведь действительно, домашняя машинка логически имеет прямую связь с серверной подсеткой через роутер и свичи! Я поставил другой IP на alias и действительно я сейчас имею полный доступ к серверам и к Интернету. Теперь не придётся бегать к серверам пока я не доделаю всю структуру сеток.

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

На коммутаторе vlan не настроены получается ? Если да , то сегментация эта чистой воды профанация

[Palych]

Я пока не понял что там к чему, особенно что делает второй hard switch справа. Но я сетевым инженером уже 18 лет как не работаю...

Потому - предложу обобщенные измышления:
Нужно с одной стороны - подключить физически домашнюю сеть к серверной, чтобы на сервер заходить не через интернет.
С другой - отгородить домашнюю сеть, чтобы со стороны сервера не было видно внутренностей домашней сети.
Если подключить сервер через LAN port роутера и заставить всё работать - второе требование не будет выполнено.

Самое простое - чтобы домашняя сеть была отгорожена NATом.
Проще всего это сделать воткнув WAN port в серверную сеть (я так понимаю - в тот самый свитч справа) и присвоив ему адрес из серверной сети.
Тогда получится двойной NAT, и my IP address будет показываться как серверный.

Чтобы этого избежать - нужен роутер с двумями WANами, чтобы на каждом был NAT...

[StrangerR]

Что значит "Физическое их соединение присутствует."?
Они обе соединены с 192.168.1.1?

Присутствует кабель, который идёт о роутера (домашняя подсетка) к интерфейсу на сервере, который является входом виртуального свича, включенного в серверную подсетку.
Извините, предложение получилось многоэтажным, но, надеюсь, понятным.

Ну так на VM-ках должны быть такие же адреса как и на домашней подсетке. Или же берите свитч/роутер с VLAN-ами и делайте их.

По сути - как правило домашние роутеры вланов не имеют но имеют DMZ. Сделайте DMZ на сетку которая на VM-ках и втыкните VMware хост туда.

Вы по сути просто втыкаете vSwitch в порт куда идет кабель. Рассматривайте его именно как свитч, просто еще один. Как вы свитчи соединяете, так и соединяйтесь.

(А лучше конечно иметь роутер с поддержкой VLAN-ов на L2 уровне)

[Privet]

Что значит "Физическое их соединение присутствует."?
Они обе соединены с 192.168.1.1?

Присутствует кабель, который идёт о роутера (домашняя подсетка) к интерфейсу на сервере, который является входом виртуального свича, включенного в серверную подсетку.
Извините, предложение получилось многоэтажным, но, надеюсь, понятным.

Ну так на VM-ках должны быть такие же адреса как и на домашней подсетке. Или же берите свитч/роутер с VLAN-ами и делайте их.

По сути - как правило домашние роутеры вланов не имеют но имеют DMZ. Сделайте DMZ на сетку которая на VM-ках и втыкните VMware хост туда.

Вы по сути просто втыкаете vSwitch в порт куда идет кабель. Рассматривайте его именно как свитч, просто еще один. Как вы свитчи соединяете, так и соединяйтесь.

(А лучше конечно иметь роутер с поддержкой VLAN-ов на L2 уровне)

Про уровни не скажу, но мой роутер R8000 имеет поддержку VLAN. Есть два режима - by bridge and by VLAN tag. Проблема только в том, что я с VLAN никогда не упражнялся, но сейчас почитаю, чтобы иметь хотя бы общее представление.

[Privet]

Я пока не понял что там к чему, особенно что делает второй hard switch справа. Но я сетевым инженером уже 18 лет как не работаю...
...

По паре портов для WAN и LAN на сервере используется исключительно для резервирования. На сервере есть ещё порт iDRAC, который включается в серверную LAN. Правый свич объединяет iDRAC, два порта серверной LAN и даёт возможность так или иначе связать серверную и домашнюю подсетки.
Что-то здесь неправильно?

...
Потому - предложу обобщенные измышления:
Нужно с одной стороны - подключить физически домашнюю сеть к серверной, чтобы на сервер заходить не через интернет.
С другой - отгородить домашнюю сеть, чтобы со стороны сервера не было видно внутренностей домашней сети.
Если подключить сервер через LAN port роутера и заставить всё работать - второе требование не будет выполнено.

Самое простое - чтобы домашняя сеть была отгорожена NATом.
Проще всего это сделать воткнув WAN port в серверную сеть (я так понимаю - в тот самый свитч справа) и присвоив ему адрес из серверной сети.
Тогда получится двойной NAT, и my IP address будет показываться как серверный.

Чтобы этого избежать - нужен роутер с двумями WANами, чтобы на каждом был NAT...

Точно! Я не знаю, можно ли в принципе настроить мой роутер на два WAN (Я на него сегодня планирую поставить OpenWrt - у неё много функций, но я же могу просто поставить ещё один роутер между серверной и домашней подсеткой. Мне только не очень нравится, что появляется ещё одна коробочка, но это не проблема. Как вариант, я могу поставить ещё одну VM и настроить её как роутер для этих целей. Это просто и, главное, понятно для меня.

Я только бегло просмотрю эту книжичку про VLAN: https://www.illumio.com/thank-you-illum ... a248100e8a
Что ещё на эту тему можно посмотреть? Желательно ёмко и кратко.

[StrangerR]

Я все равно смысла не понимаю. Если у вас нет DMZ под VM-ки то одна VLAN Или десять - без разницы. Если есть DMZ то в нее и втыкайте хост и vSwitch и будет вам щастье. Мы то втыкаем три десятка VLAN-ов одним транком и они там разные DMZ и через файреволлы и через роутеры, и тогда VLAN имеет смысл (у меня кое где даже внешняя сетка VLAN). А дома все это избыточно и не нужно.

[StrangerR]

А, кстати, dRAC влключаете в домашнюю сетку. Сервер или транком или в DMZ. VM-ки конфигурите в DMZ. И все. А без выделения DMZ или каких то зон разной секьюрити на (домашние звери ни роутеры ни файреволлы а неведомы зверушки обычно, даже не знаю как этих убогих обзывать) смысла разделения сетей нет никакого. Ну почти...

[Privet]

А, кстати, dRAC влключаете в домашнюю сетку. Сервер или транком или в DMZ. VM-ки конфигурите в DMZ. ...

Я извиняюсь, но, что Вы имеете в виду под фразой "...VM-ки конфигурите в DMZ..." ? 1. Какие VM-ки Вы имеете в виду? Все те, которые у меня есть или нужно их дополнительно создать? Если создавать, то почему несколько? 2. В чём конкретно заключается конфигурация VM как DMZ? Какие настройки имеются в виду? Настройка роутера на этот хост?

В данном контексте я понимал DMZ как машинку с минимумом необходимого и, как минимум, двумя сетевыми картами для двух подсеток. Что ещё?

[StrangerR]

Все зависит от целей. Вы же хотите так я понимаю серверы отделить от домашней сетки. Ну значит их в DMZ они и отделятся. Как DMZ доставить на VMware хост зависит от вашего свитча-роутера - если он понимает VLAN-ы и таги то через VLAN-ы а иначе включив разные порты сервера в разные порты свитча. После чего у вас на хосте на vSwitch появится две например сетки - HOME, DMZ. Ну и вы то что хотите туда куда хотите и конфигурите.

DMZ не машина, DMZ это сеть которая изолирована от домашней (связь через файреволл) и может быть а может и не быть в том же приватном IP пространстве что и домашная (то бишь они друг друга могут видеть по IP, а уж дальше пропустит или нет файреволл). И когда делается новая VM или меняется старая, на хосте, ее сетевой интерфейс включается в одну из сетей на vSwitch, в данном случае HOME или DMZ. Ну и адреса разные например у HOME 192.168.1.0/24 а у DMZ 192.168.0.0/24

(Я имел в виду - хост это VMware хост, а серверы это любые VM-ки. Те что обслуживают внешний мир - обычно ставят в DMZ. Можно кстати и OUTSIDE в хост притащить и тогда можно даже сделать VM с двумя интерфейсами если очень хочется.)

[Privet]

Спасибо! Я не общаюсь в мире администраторов, а штудировать толстые буки мне, честно говоря, просто лень. Ведь занимаюсь этим лишь по необходимости. Многие описания слишком обобщённые и не дают примеров как конкретно это реализуется.
Фактически, я и пытался отправить всю серверную часть в отдельную зону.

[Privet]

Ещё такой вопрос. IP домашней сетки и DMZ должны быть закрытой информацией, нежелательной к распространению или это неважно? Могу я их спокойно публиковать на форуме или не стоит?

[Korney]

Ещё такой вопрос. IP домашней сетки и DMZ должны быть закрытой информацией, нежелательной к распространению или это неважно? Могу я их спокойно публиковать на форуме или не стоит?

Private IP можно публиковать сколько угодно.

[Privet]

Настроил без всяких дополнительных примочек себе DMZ в серверную сетку. Вообще? e OpenWrt просто замечательный GI интерфейс. Причём, система совместима со многими устройствами. Она не загружается всем, чем не попадя, как другие системы. Что необходимо - подгружается по необходимости.
По DMZ нашёл отличную step-by-step инструкцию как раз для OpenWrt: https://blog.christophersmart.com/2015/ ... n-openwrt/

Надо только будет перекинуть iDRAC на домашнюю сетку, как советовали.
Полу-теоретически меня интересует такой вопрос:
Сейчас наружу (в Internet) у меня смотрят только три порта - http, https на веб-сервере и openvpn на отдельной vm. Имеет ли большой смысл, с точки зрения безопасности, пустить трафик на веб-сервер через промежуточный хост, чтобы изолировать сервер от внешней сети? Если да, то как это лучше сделать?
Я сделал такой фокус через nat, но получилось так, что веь трафик на веб-сервер шёл с одного ip. Не годится.

[StrangerR]

Настроил без всяких дополнительных примочек себе DMZ в серверную сетку. Вообще? e OpenWrt просто замечательный GI интерфейс. Причём, система совместима со многими устройствами. Она не загружается всем, чем не попадя, как другие системы. Что необходимо - подгружается по необходимости.
По DMZ нашёл отличную step-by-step инструкцию как раз для OpenWrt: https://blog.christophersmart.com/2015/ ... n-openwrt/

Надо только будет перекинуть iDRAC на домашнюю сетку, как советовали.
Полу-теоретически меня интересует такой вопрос:
Сейчас наружу (в Internet) у меня смотрят только три порта - http, https на веб-сервере и openvpn на отдельной vm. Имеет ли большой смысл, с точки зрения безопасности, пустить трафик на веб-сервер через промежуточный хост, чтобы изолировать сервер от внешней сети? Если да, то как это лучше сделать?
Я сделал такой фокус через nat, но получилось так, что веь трафик на веб-сервер шёл с одного ip. Не годится.

Это вы НАТ не в ту сторону сделали. Обычно через НАТ и делают, на самом сервере адреса обычно внутренние а уж файреволл транслирует адрес и порт во внешние.

Но мы делаем отдельный хост и на нем веб прокси, и (важно) настраиваем так, что нужно задать имя хоста, просто если открыть по IP получишь пустую страничку. Это обрезает сразу 99% хакерских сканирований так как они идут по IP. Правда, это плохо работает если сертификат без *, но тоже как то работает, роботы отсекает - они не видят приложения и значит не могут пощупать его на предмет дырок.

[PavelM]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

А ведь действительно, домашняя машинка логически имеет прямую связь с серверной подсеткой через роутер и свичи! Я поставил другой IP на alias и действительно я сейчас имею полный доступ к серверам и к Интернету. Теперь не придётся бегать к серверам пока я не доделаю всю структуру сеток.

Об чем и речь. На данном раутере нет раутинга между вайфай и портами LAN, работает как бридж.

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

Судя по документации Ваш раутер имеет весьма ограниченные возможности (нет VLAN, нету толковой поддержки DMZ).
Оставлять как есть не надо, есть очевидные проблемы с защитой.
См. рисунок.

1 - Веб сервер сидит голым в Интернет без фаервола.
Нужно настроить хотя бы Iptables, позволить только входящий трафик http. Заблокировать остальное.
Если свитч перед сервером поддерживает ACL (как некоторые модели Циско) их можно использовать чтобы защитить сервер.

2 - Из серверной сети есть доступ к домашним PC.
Предлагаю обрезать доступ из серверного коммутатора к домашней сети.
Подключить только порт iDRAC и порт управления ESX. Т.о. в домашнюю сеть залезть будет нельзя, но у Вас будет доступ ко всем ВМ и железу сервера. Для доступа к ВМ используйте клиента vSphere на домашнем компьютере.

Как-то так.

Untitled.jpg

[Privet]

...
Сейчас наружу (в Internet) у меня смотрят только три порта - http, https на веб-сервере и openvpn на отдельной vm. Имеет ли большой смысл, с точки зрения безопасности, пустить трафик на веб-сервер через промежуточный хост, чтобы изолировать сервер от внешней сети? Если да, то как это лучше сделать?
Я сделал такой фокус через nat, но получилось так, что веь трафик на веб-сервер шёл с одного ip. Не годится.

Это вы НАТ не в ту сторону сделали. Обычно через НАТ и делают, на самом сервере адреса обычно внутренние а уж файреволл транслирует адрес и порт во внешние.
...

Видимо, это выше моего понимания. У меня был настроен DNAT на машинке, которая выставлена наружу: dest_orig_ip -> dest_dmz_ip (IP этой машинки в DMZ зоне). Веб-сервер, соответственно, видел все входящие запросы как от dest_dmz_ip.
Сам принцип NAT, как я понимаю - подменять в пакете dst или src IP. Прокси же может передать оригинальный IP в поле X-FORWARDED-FOR. Я выше писал, что хотел так настроить прокси, но потом отвлёкся.

...Но мы делаем отдельный хост и на нем веб прокси, и (важно) настраиваем так, что нужно задать имя хоста, просто если открыть по IP получишь пустую страничку. Это обрезает сразу 99% хакерских сканирований так как они идут по IP. Правда, это плохо работает если сертификат без *, но тоже как то работает, роботы отсекает - они не видят приложения и значит не могут пощупать его на предмет дырок.

Спасибо большое за совет! Обязательно это сделаю.
Кстати, какой Вы прокси используете? Не nginx, случайно?

[Privet]

...
1 - Веб сервер сидит голым в Интернет без фаервола.
Нужно настроить хотя бы Iptables, позволить только входящий трафик http. Заблокировать остальное.
Если свитч перед сервером поддерживает ACL (как некоторые модели Циско) их можно использовать чтобы защитить сервер.
.

Пока у меня защита через firewall самого сервера, в скором я его изолирую всё-таки от сети.
Свичи, которые там показаны внутри сервера это виртуальные свичи vmware.

2 - Из серверной сети есть доступ к домашним PC.
Предлагаю обрезать доступ из серверного коммутатора к домашней сети.
Подключить только порт iDRAC и порт управления ESX. Т.о. в домашнюю сеть залезть будет нельзя, но у Вас будет доступ ко всем ВМ и железу сервера. Для доступа к ВМ используйте клиента vSphere на домашнем компьютере.
...

Я уже изолировал серверную сетку от домашней с помощью DMZ. У оригинального софта роутера есть VLAN и DMZ, но я не берусь оценимать их крутизну. В любом случае, У меня сейчас на роутере стоит OpenWrt. Она имеет больше возможностей.

[PavelM]

Имеет ли большой смысл, с точки зрения безопасности, пустить трафик на веб-сервер через промежуточный хост, чтобы изолировать сервер от внешней сети? Если да, то как это лучше сделать?
Я сделал такой фокус через nat, но получилось так, что веь трафик на веб-сервер шёл с одного ip. Не годится.

1. Имеет, но только если прокси еще и фильтрует трафик. Простой обратный прокси без фильтрации никакой пользы для защиты не несет.

2. Прокси будет подменять адрес клиента своим и это нормально. Надо настраивать заголовки X-Forwarded-For. Некоторые прокси можно настроить чтобы они адрес клиента сохраняли, но тогда имейте ввиду что сервер обратный пакет будет посылать напрямую клиенту (не через прокси) и мы получим асимметричное соединение и возможные проблемы с фаерволами на пути которые будут видеть запросы уходящие к одному айпи, а ответы приходящие от другого и блокировать последние.

[Privet]

Вчера я лихо настроил DMZ и успокоился. Сегодня обнаружил, что у меня есть доступ к серверной сетке с самого роутера. Я могу зайти по ssh на любой сервер, но (блин!!!) я не могу заходить на сервера с домашнего компьютера. Пытался делать route и forwarding, но ничего не получается.

Роутер в домашней подсетке: 192.168.1.1/24
Роутер в серверной подсетке: 192.168.10.1/24
Домашний компьютер: 192.168.1.100/24
Одна из VM : 192.168.10.22/24

ssh 192.168.10.1 -> 192.168.10.22 - работает
ssh 192.168.1.100 -> 192.168.10.22 - нет

Могу только по ssh на роутер, а дальше уже на сервер.

Что я должен делать?
Желотельно, какие конкретно src, dst, port, proto и пр.

[PavelM]

Вчера я лихо настроил DMZ и успокоился. Сегодня обнаружил, что у меня есть доступ к серверной сетке с самого роутера. Я могу зайти по ssh на любой сервер, но (блин!!!) я не могу заходить на сервера с домашнего компьютера. Пытался делать route и forwarding, но ничего не получается.

Роутер в домашней подсетке: 192.168.1.1/24
Роутер в серверной подсетке: 192.168.10.1/24
Домашний компьютер: 192.168.1.100/24
Одна из VM : 192.168.10.22/24

ssh 192.168.10.1 -> 192.168.10.22 - работает
ssh 192.168.1.100 -> 192.168.10.22 - нет

Что я должен делать?

Раутер имеет интерфейсы в обеих сетях, поэтому добавлять route смысла нет, т.к. он и так знает где какая сеть.
Я думаю дело в закрытых портах, т.е. надо добавить строчку в IPtables (так в ddwrt) чтобы позволить следующие соединения:

Source IP : 192.168.1.0/24
Source port: Any
Destination: 192.168.10.0/24
Destination port: 22

И позволить обратные пакеты.

[PavelM]

Если использовать не iptables а фаервол в OpenWRT это должно выглядеть как-то так

# Allow the port 22 to DMZ from LAN
config 'rule'
option 'src' 'lan'
option 'dest' 'dmz'
option 'proto' 'tcp'
option 'dest_port' '22'
option 'target' 'ACCEPT'

[Privet]

Я примерно вокруг этого крутился. Нарисовал точно по Вашему совету:

Code: Select all

config rule
	option name 'ssh-dmz'
	option src 'lan'
	option dest 'dmz'
	option proto 'tcp'
	option family 'ipv4'
	option dest_port '22'
	option target 'ACCEPT'

Только добавил family
Рестартанул firewall. Не работает. Кстати, пинги идут, но для этого у меня есть специальная настройка:

Code: Select all

config redirect
	option target 'DNAT'
	option dest 'dmz'
	option name 'ping-dmz'
	option proto 'icmp'
	option family 'ipv4'
	option dest_ip '192.168.10.1'
	option src 'dmz'

Я также пытался делать для 22 почти такой как Ваш, но redirect (DNAT и ACCEPT). Я увы не знаю чем отличаются rule и redirect (имею в виду действием).

[Privet]

Добавил такой nat:

Code: Select all

config redirect
	option enabled '1'
	option target 'SNAT'
	option src 'lan'
	option dest 'dmz'
	option src_dip '192.168.10.1'
	option name 'ssh-dmz-nat'
	option proto 'tcp udp'

Заработало. Только не знаю насколько это правильно.

P.S. Предыдущий route убрал