Размещение веб сервера.

[astros]

Приветствую. Вопрос в следующем вот смотрите есть маршрутизатор Фряха 7.1 как всё таки лучше поставить веб сервер на маршрутизатор т.е вставить 3 сетевую карту и сделать типа dmz или всё таки сделать так инет->Маршрутизатор->локальная сеть и здесь размещаем веб сервер, т.е в локалке. Подскажите плиз а то грю начинаешся книги и начинают лезть свякие мысли такого содержания. Или всё таки не париться пока с этим а лучше настраивать сервер чем с размещением где кто и как.
Дополнение к выше сказанному.
Короче мне хотелось сделать дома пару небольших северов для хостинга, я конечно понимаю что лучше просто купить у хостера место и размещать там свои сайты, но хочется попробовать самому сделать повторюсь пару серверов и размещать свои сайты и кто захочет но главное пока свои. А то задумок много реализовывать то нужно и хочется. Помогите как правильно всё таки резместить в dmz зоне или в локале.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[---nebo---]

На то она и dmz, что в ней лучше размещать сервера.
Сама по себе она предпологает использование и внутреннего фаера, что обеспечит защиту и от внутренних нерадивых пользователей
Зона потому называется демилитаризированной, что там не просто скопом серваки стоят, а выполнен комплекс действий по созданию такой зоны.

[astros]

На то она и dmz, что в ней лучше размещать сервера.
Сама по себе она предпологает использование и внутреннего фаера, что обеспечит защиту и от внутренних нерадивых пользователей
Зона потому называется демилитаризированной, что там не просто скопом серваки стоят, а выполнен комплекс действий по созданию такой зоны.

Помоги как правильно разместить сервер если чесно пока чего то не допонимаю. т.е как моё видение этого
Есть маршрутизатор там стоит фаервол и т.д стоят 3 сетевые 1 -смотрит в инет, 2 сетевая смотрит в dmz и 3 сетевая смотрит в локаль.
дальше ладно локаль понятно как там выдавать ip адреса не могу сообразить какие IP адреса давать в dmz ?????????
есть постоянный у меня IP адрес в принципе можно прову обратиться что бы выдал ещё если нужно. Есть соединение с нормальной скростью в принципе можно договориться так же с провом. Самое главное для меня как и что делать в dmz и т.д. Кто нибудь расскажите поподробней.

[astros]

Тогда не так поставлю вопрос. Помогите настроить тогда фаервол и сделать все нас тройки что бы работала DMZ зона. Что где менять придётся в настройках и т.д тонкости.

[astros]

Тогда не так поставлю вопрос. Помогите настроить тогда фаервол и сделать все нас тройки что бы работала DMZ зона. Что где менять придётся в настройках и т.д тонкости.

Нашёл вот какую статейку http://www.lissyara.su/?id=1305
Эта статья пойдёт для ознакомления или нет???. И ещё такой вопрос тогда получается что для DMZ нужно несколько статических адресов так т.е хочу поставить 3 сервера значит 3 статических IP так получается??? или можно обойтись всё таки одним???

[---nebo---]

Для начала неплохо описать политики безопасности, хотя бы в общем случае. Тоесть куда могут лазить и что делать пользователи из Интернета, аналогично куда могут лазить и что делать пользователи локальной сети и сервисы, которые будут предоставляться. После этого и прояснится картина как и зачем настраивать файервол. Лучше сделать их два: на входе в сеть и на входе и ДМЗ.

На счет айпишников. Лучше сделать для серваков в ДМЗ локальные адреса, а потом static NAT-пробросим реальный адрес в серый. ИМХО.
Если серваков три, то и иметь нужно три белых адреса, что не очень, наверное, удобно. Плюс нужно иметь еще один белый адрес для всех остальных компов локальной сети. Короче натить все это хозяйство.

Если у тебя три сервера предоставляют одинаковые сервисы, например ВЕБ, то одним белым адресом ты не обойдешся, если только не перевешывать сервисы на другие порты, что пипец как геморно и неудобно для клиентов.

Если три сервера предоставляют разные сервисы: ВЕБ, мыльник, ..., то можно обойтись одним одним белым адресом и всех пользователей+сервера натить через него, а на маршрутизаторе или файерволе пробросить, например, 80, 25, 110,...., порты на твои сервера.

Опиши что за сервера и че будут делать, а там можно изголяться как угодно

[astros]

Для начала неплохо описать политики безопасности, хотя бы в общем случае. Тоесть куда могут лазить и что делать пользователи из Интернета, аналогично куда могут лазить и что делать пользователи локальной сети и сервисы, которые будут предоставляться. После этого и прояснится картина как и зачем настраивать файервол. Лучше сделать их два: на входе в сеть и на входе и ДМЗ.

На счет айпишников. Лучше сделать для серваков в ДМЗ локальные адреса, а потом static NAT-пробросим реальный адрес в серый. ИМХО.
Если серваков три, то и иметь нужно три белых адреса, что не очень, наверное, удобно. Плюс нужно иметь еще один белый адрес для всех остальных компов локальной сети. Короче натить все это хозяйство.

Если у тебя три сервера предоставляют одинаковые сервисы, например ВЕБ, то одним белым адресом ты не обойдешся, если только не перевешывать сервисы на другие порты, что пипец как геморно и неудобно для клиентов.

Если три сервера предоставляют разные сервисы: ВЕБ, мыльник, ..., то можно обойтись одним одним белым адресом и всех пользователей+сервера натить через него, а на маршрутизаторе или файерволе пробросить, например, 80, 25, 110,...., порты на твои сервера.

Опиши что за сервера и че будут делать, а там можно изголяться как угодно

Получается следующее. Пользователи из инета будут лазить на http, https, mail и пара игровых серверов игры типа WoW CS? ну и в общем всё. Пользователи лок сети т.е там вообще 1 комп т.е мой, будет лазить везде т.е инет, так же заход на сервера через ssh на веб серверы, для правки просмотра чего либо. Вот в общем всё что хотелось бы.

[princeps]

Значит тебе надо настроить фаервол таким образом, чтобы подключающиеся по http, https, smtp, pop3, imap и по протоколам игровых серверов могли попасть ТОЛЬКО в dmz, и не могли попасть в локальную сеть. Кроме этих протоколов в dmz не должны попадать больше никаким образом. Из dmz должны только отвечать на пакеты, оттуда никаким способом не должны попасть в локальную сеть. Собственно, суть dmz в том, что даже захватив ее, злоумышленник не сможет атаковать локальную сеть, поскольку ему придется снова проходить черещ фаервол.
Ты, дружище, похоже, не совсем понимаешь назначение и принцип работы dmz. Погугли на эту тему, инфы в интернете полно, тебе надо теоретически сначала понять. А потом уже будешь конкретно по вопросам, которые туго доходят, спрашивать. А так у тебя слишком общие вопросы получаются, на них в рамках форума невозможно ответить без посылания в гугль.
Собственно, настроить фаер с dmz настолько же просто, как и без нее.

[princeps]

Кстати, для dmz в общем случае, если ты еще не понял, тебе понадобится еще один компьютер, для этого и нужны три сетевые карты. одна у тебя будет смотреть в инет, другая - в локалку, третья в dmz, где будет стоять тот самы третий комп. Если у тебя его нету, что имеет смысл сначала потренироваться на jail'ах, как вот здесь: http://www.samag.ru/cgi-bin/go.pl?q=art ... .2006;a=04. Там второй раздел - как раз про настройку dmz с jail'ом.

[astros]

Кстати, для dmz в общем случае, если ты еще не понял, тебе понадобится еще один компьютер, для этого и нужны три сетевые карты. одна у тебя будет смотреть в инет, другая - в локалку, третья в dmz, где будет стоять тот самы третий комп. Если у тебя его нету, что имеет смысл сначала потренироваться на jail'ах, как вот здесь: http://www.samag.ru/cgi-bin/go.pl?q=art ... .2006;a=04. Там второй раздел - как раз про настройку dmz с jail'ом.

Нет вы не поняли у мну компьютеров 5 шт дома стоит. есть и сетевые сколько угодно. Железо не проблема проблема с разбором всех полётов. Вот подскажите всё таки как лучше сделать разместить вебсервера в локали, что не безопасно, вообще если кто вломиться в локаль тому и карты в руки. Или же всё таки сделать типа DMZ или как помогите, а то уже бошка пухнет. Я понимаю что на пальцах рассказывать не особо и прикольно. Но попытайтесь.