Portál AbcLinuxu, 23. července 2025 21:51


Dotaz: Izolace určitého serveru v LAN

6.4.2018 14:07 Jan
Izolace určitého serveru v LAN
Přečteno: 547×
Odpovědět | Admin
Ahoj, potřeboval bych nakopnout, jak přistoupit k tomuto problému. V rámci naší LAN provozujeme také DMZ kde jsou servery s veřejnou IP. Ale teď potřebuju, aby k jednomu serveru měl root přístup jeden klient. Standardně publikujeme ven pouze TCP 80/443, takže přidám pouze TCP 22 pro SSH, ale problém je, že jakmile se připojí na onen server, má z něj přistup (ne přími přístup, ale jsou viditelné) na ostatní servery a nevím jak to jednoduše omezit.

Prostě ať je každý jednotlivý server, kam přistupuje zákazník s root přístupem naprosto oddělen.

Děkuji
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

6.4.2018 14:12 MP
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
To mate smulu.

Bud nasadite FW na kazdy okolni server (pripadne primo na ten dany, ale to je bezpecnostne slabsi), nebo premigrujete dany server do vlastni zony.
6.4.2018 14:21 Jan
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
A jak to pak řeší společnosti, které provozují dedikované servery s veřejnými IP? Předpokládám, že tam také nejsou viditelné mezi sebou a lokální FW tam nepomůže.
6.4.2018 14:34 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
Pokial mam niekde dedikovany server, tak je to na mne, aby som si ho zabezpecil. A provider urcite nema svoje servery v jednom segmente s "cudzimi" servermi.
6.4.2018 14:57 Jan
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
To zní rozumně. Vytvořit klientům vlastní segment a smluvně řešit ať se o to postarají sami co propagují.
9.4.2018 09:27 jar-jar
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
tyka se IPV4
ipv6 je to trosku horsi
9.4.2018 11:58 jar-jar
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
pro ipv4

-------------------------------------------------------
zrusit dynamicky arp
https://www.linuxquestions.org/questions/linux-networking-3/disable-dynamic-arp-223275/
-------------------------------------------------------
pokud je klient na jinem eth segmentu/v internetu tak staticky zadat MAC pro default gateway
man arp
-------------------------------------------------------
pokud je klient na stejnem eth segmentu zadat jeho MAC
-------------------------------------------------------
a nezapomenout ze jsem takovou "cunarnu" spachal
treba po vymene sitovky v default GW ... smolik
6.4.2018 15:07 V.
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
Cisco switche umí režim "private" vlan, komunikace je omezená.
Můžete pustit audit na toho, kdo se přihlásí.
Můžete zakázat konkrétní odchozí komunikaci ze serveru.
V nouzi můžete omezit přes sudo co může provést.
6.4.2018 16:25 Kit | skóre: 45 | Brno
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
Proto je ten server v DMZ, aby byl vidět zvenčí, ale neviděl dovnitř. Je třeba DMZ správně nakonfigurovat.
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
7.4.2018 19:06 Jurasek
Rozbalit Rozbalit vše Re: Izolace určitého serveru v LAN
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zdar. Jmenuje se to PVLAN viz zde . Jura

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.