Доступ к 4-м серверам <извне, только с заданного IP>
 

Здравствуйте.

Подскажите пожалуйста. У меня есть 4 сервера с установленной XP SP2. Есть 4 статических IP адреса (допустим: 101.135.167.123, 101.135.167.124, 101.135.167.125, 101.135.167.126). Нужно предоставить доступ к этим серверам только одному статическому адресу (допустим 53.156.243.10).

Подскажите пожалуйста, какое оборудование и/или ПО необходимо для решения моей задачи.

Kentuky,

1) Ознакомились http://forum.oszone.net/announcement-31-75.html
2) Схему сети привели
2.5) Тип и объем трафика привели
3) Располагаемую сумму привели
4) Квалификацию привели

Задача решается вынесением серверов в отдельный сегмент и фильтрацией IP - на гейте
А что и как, можно решить лишь после предоставления вами схемы сети.

kim-aa,

1. Схема сети приведена в двух вариантах.
2. Трафик будет минимальным. Доступ будет нужен от случая к случаю
3. На счет суммы: пока не имеет значение, но рассмотрю все варианты, которые можете предложить


А теперь по схеме:

В первом варианте:

Возможна ли вообще такая схема?

Если да, то нужно ли мне 4 статических IP адреса для предоставления по порту 80 информации с 4 серверов или мне нужен только 1 IP адрес и использовать порт маппинг. Какое оборудование кроме роутера может еще понадобиться, какие именно настройки придется проводить (VPN, firewall (если можно кротко описать))?

Во втором варианте:

Нужно ли какое-нибудь ПО для предоставления доступа к серверам только IP адресу указанному в схеме?

Заранее Спасибо!

можно и так и так. как вам будет удобно.

встроенный в венду фаерволл умеет разрешать доступ к определенным портам только с определенных ип-адресов. другое дело это его глючность и ненадежность.



вообще можно выставить только один сервер в инет. и либо через него управлять другими машинами, (сначала по рдп на него, потом на другие машины, чтобы не громоздить лишних проксей/натов/фаерволов) либо на нем же и поднять порт маппинг....

Возможна. Она стандартна.
Если для всех 4х серверов вы выводите наружу именно 80й порт, то вам понадобиться 4 внешних IP адреса
Если применять нестандартные порты, т.е.
ПРИМЕР:
------------------------
Сервер-----Порт
1------------ 80
2-------------8080
3-------------8081
4-------------8082
-----------------------

Тогда достаточно одного IP адреса. Данная схема более предпочтительна если вы бьетесь за безопасность.
Вобще использование нестандартных портов очень сильно облегчает жизнь если увас определенная небольшая группа клиентов.

Так же если необходимо ограничится толкько 1-м внешним адресом проблему можно решить при помощи редиректов на уровне web-сервера
Т.е. вы поднимаете центральный web-сервер, например Apache и уже на нем настраиваете редиректы
ПРИМЕР
http://myweb.ru/1 -> srv1
http://myweb.ru/2 -> srv2
http://myweb.ru/3 -> srv3
http://myweb.ru/4 -> srv4

Это опять же стандартная схема балансировки нагрузки средствами WEB-сервера.

Возможно использование аппаратных балансировщиков нагрузки типа Cisco CSC 11501
см. http://forum.oszone.net/post-665518-5.html

Второй вариант считается геморойным.
Обеспечивать безовасность надо ДО серверов, а не на них.
На них можно поднять дополнительные уровни защиты, если приперло.

Если хотите можно использовать ваш вариант 1, но без NAT.
т.е трафик проходит через центральный фильтрующий гейт, но сервера имеют реальные IP.
Хотя особого смысла ,использовать данный вариант в настоящее время я не вижу.