Domain-Name-System

使用 VLAN 路由的基於域的埠轉發

  • July 22, 2013

在我的新工作區中,我想設置一個網路,使我能夠在開發、測試和接受伺服器 (VM) 上部署我的 Web 開發工作,並基於不同的域(多個網站)從網路外部(受控)訪問。我還想通過 VPN 遠端訪問我的網路。

然而,挑戰是我們共享內部網路,我將無法自己控制路由器/防火牆(網路由外部方管理)。為了應用新配置,他們需要一個圖解且解釋清楚的請求。

我對網路的了解有限,但研究確信我的網路設置應該是可行的。有人可以確認/評論我關於可行性/最佳實踐的想法嗎?

  1. 我的工作區所在的建築物具有與公共 IP 176.xx.xx.xxx 的光纖 (FTTO) 連接。網路流量由 Juniper SSG20 防火牆控制(我無法控制,但那些在埠 80 上執行公共 Web 界面)。內部網路有 192.168.30.0/24 範圍。
  2. 我有一個支持 VLAN 的 Netgear Prosafe GS105E 交換機。
  3. 我有一個帶有 5 個虛擬機(執行 Ubuntu 12.04 Srv)的 VMware vSphere Hypervisor 伺服器(ESXi)的戴爾伺服器:
  • (A) VM:文件伺服器(僅限我的本地工作站的內部訪問權限 (E)
  • (B) VM:Webserver (Dev) 應該處理 dev.domain-1.com
  • (C) VM:Webserver (Test) 應該處理 test.domain-1.com
  • (D) VM:Webserver (Accept) 應該處理 accept.domain-1.com
  • 戴爾伺服器有 3 個網卡,我可以創建虛擬交換機來處理 VLAN 路由。
  1. 我有一台帶有 eth0 介面的多功能列印機 (F),只能在 VLAN 內訪問。
  2. 現有的 Apple Airport 還在同一子網上提供 WiFi 訪問,但我可以隱藏我的虛擬機,以便建築物中的其他人無法訪問它們(我猜是 VLAN 配置)。

本質上,我的目標是:

  • 基於域的埠轉發(80、443、5000、8080)
  • dev.domain-a.com –> 192.168.1.10 (VM: B)
  • dev.domain-b.com –> " " " " "
  • test.domain-a.com –> 192.168.1.11 (VM: C)
  • test.domain-b.com –> " " " " "
  • accept.domain-a.com –> 192.168.1.12 (VM: D)
  • 僅從我的本地工作站限制對 Fileserver (VM: A) 的訪問
  • 能夠通過 VPN 訪問網路(和文件伺服器)

相關問題:

  • 我是否必須在新的 ESXi VM 上配置反向代理才能從外部解析本地電腦(Ubuntu 上的 Pound 反向代理伺服器怎麼樣)?
  • Juniper SSG20 防火牆是否需要將我的本地伺服器/VLAN 添加到 DMZ?
  • 如果我想對埠 80 進行埠轉發,Juniper SSG20 防火牆如何仍然具有 Web 訪問(埠 80)?我是否必須將規則添加到將流量重定向回防火牆的反向代理中?

任何想法都會非常非常有幫助,以便我可以向外部網路管理方(通過物業經理)提出請求。

請看網路佈局圖: http://onbeperktmedia.nl/upload/network_scheme_oldschoolproj.png

我是否必須在新的 ESXi VM 上配置反向代理才能從外部解析本地電腦(Ubuntu 上的 Pound 反向代理伺服器怎麼樣)?

根據您的要求/目標列表,不需要反向代理。您真正需要的只是專用 Internet/WAN IP 和 SSG20 設置上的一些基本 NAT/MIP 規則。如果需要,您可以通過 SSG20 上的防火牆規則鎖定此訪問(例如哪些客戶端 IP 可以進入等)

Juniper SSG20 防火牆是否需要將我的本地伺服器/VLAN 添加到 DMZ?

不,但您確實需要有多個外部 IP 地址來進行直接 NAT(在 Juniper 上它將是一個靜態 NAT,他們稱之為 MIP/mappedIP)。在這種情況下,您將為每個內部虛擬機(開發/測試/接受)提供一個外部 IP,以便輕鬆地進行外部到內部的轉換。

否則,您將需要 PAT 或瞻博網路在 SSG 上稱為 VIP 並偵聽不同的埠。這意味著如果你只想要一個外部 IP,那麼你需要在 dev 上做一些普通的埠監聽,然後增加 81/444/5001/8081 之類的東西進行測試等等。然後在 SSG20 中,它將 externalIP:81 映射到 192.168.1.11:80 但這實際上是一個 PITA,而不是從提供商那裡獲得一些額外的外部 IP。

如果我想對埠 80 進行埠轉發,Juniper SSG20 防火牆如何仍然具有 Web 訪問(埠 80)?

我假設您的意思是對 SSG20 的管理 webui 的外部訪問?就個人而言,無論如何都不應該打開…安全漏洞,尤其是僅通過http。管理員/責任方應通過 https 將其鎖定到不同的偵聽埠,並將其限制在其傳入的客戶端 IP 範圍內。但是,我再次回到Multiple external IPs。如果您的虛擬機有專用 IP,那麼您仍然可以(儘管不推薦)讓它們在瞻博網路 SSG20 上保持正常的外部 WAN IP 和埠 80 開放。

我是否必須將規則添加到將流量重定向回防火牆的反向代理中?

不,這是不必要的。您只需要確保虛擬機可以路由到瞻博網路(正常的網際網路流量)。如果他們已經可以,那麼他們就完成了。除非您要求對每個 VM 進行分段並且不能相互發送流量,否則您甚至不需要花哨的 vmware 網路,但是您可以在 VM 的作業系統中輕鬆地做到這一點。

引用自:https://serverfault.com/questions/525287

相關問答

Domain-Name-System

如何在防火牆處處理 DNS

  • July 31, 2012
檢視問答
Domain-Name-System

OpenWRT - 如何將主機名的所有子域重定向到同一主機,以便可以反向代理?

  • February 10, 2021
檢視問答
Domain-Name-System

我可以設置一個 DNS 別名來指向防火牆後面的機器嗎?

  • November 16, 2010
檢視問答
Ssh

如何使用 iptables 將 HTTP 和 SSH 埠轉發到我的內部伺服器?

  • March 14, 2022
檢視問答
Linux

linux vlan路由

  • February 16, 2022
檢視問答
Security

路由器是否需要從給定的 VLAN 分配 IP 才能轉發 VLAN 包?

  • February 5, 2022
檢視問答