fundo
Estou projetando uma configuração de servidor para as pequenas empresas em que trabalho. Queremos poder hospedar nosso próprio servidor da web e outros serviços no futuro em nosso próprio local.
Sendo o cara de TI / de rede / guru de tecnologia em geral, estou aprendendo a ser o principal de todos os negócios. Infelizmente, tenho pouca experiência com redes, mas estou aprendendo e tem sido interessante.
Estive lendo sobre redes e acredito que tenho um entendimento bastante sólido do que está acontecendo com nossa rede. Entendo os princípios do encaminhamento de porta e a idéia de que um roteador pode ser usado como uma maneira de bloquear conexões de entrada para serviços. Também tenho o servidor da Web baseado em Nginx em funcionamento, embora ainda não tenha descoberto como conectá-lo à Internet.
Além disso, não temos realmente o orçamento para novos equipamentos, por isso estou me contentando com um monte de equipamentos de rede doméstica que temos por aí. Se isso for completamente insuficiente, avise-me, mas presumo que funcionará.
Aqui está um rápido desenho da configuração atual:
Começando na parte superior, a linha preta grossa (representando a conexão de dados do edifício, Comcast) é dividida em Internet no modem. Não há Ethernet embutida aqui - nosso negócio usa o wi-fi como método de uso da Internet. Portanto, o roteador wi-fi está conectado diretamente ao modem, porque é o único dispositivo no nível superior. O roteador wi-fi serve internet para uso diário.
Descrição do Problema
Segurança
Estou tentando fazer com que o servidor da Web seja isolado com segurança do resto da rede. Se o servidor estiver comprometido, não quero que ele afete os computadores que usamos no dia-a-dia.
Eficiência
Não quero fazer com que a rede "diária" fique muito lenta, adicionando o servidor. Também não quero que o servidor fique muito lento por causa do layout da rede.
Configuração
Como devem ser os endereços IP, máscaras de sub-rede e conexões para cada roteador?
Soluções
Esta foi a primeira solução que surgiu. Usando um comutador de grupo de trabalho, eu queria dar aos dois roteadores posições de nível superior. O roteador do servidor encaminharia a porta TCP 80 (http).
Contras:
- Eu não consegui trabalhar. Estou assumindo que isso ocorre porque os dois roteadores estão tentando obter o mesmo IP público atribuído à Comcast do modem. De alguma forma, o roteador da rede comercial funcionaria bem nessa configuração, mas o outro roteador não renovaria / liberaria endereços IP ou forneceria uma conexão externa à Internet (com uma falha no DNS como o motivo). Embora eu tenha tentado fornecer a cada roteador endereços IP diferentes (um 192.168.1.1, um 192.168.2.1), ele não resolveu o problema.
Prós:
- Boa segurança. Se o servidor estiver comprometido, ele não poderá entrar na rede comercial. Na pior das hipóteses, poderia cheirar o tráfego do lado de fora, mas não tenho certeza se isso é possível.
- Boa eficiência. Cada rede é reduzida apenas pela opção do grupo de trabalho.
Essa foi a próxima solução que eu criei. É uma configuração no estilo DMZ que permite que o servidor esteja fora da rede comercial, mas ainda atenda HTTP.
Contras:
- Na solução A, eu poderia atrapalhar o roteador do servidor e não haveria consequências para os negócios diários. Mas neste método, se eu estragar a configuração do roteador do servidor, isso significa problemas para todos.
- Má eficiência. A rede comercial precisa passar por dois roteadores para acessar a Internet.
- Má segurança do servidor. Se um dos computadores comerciais ficar comprometido, poderá danificar o servidor.
Prós:
- Boa segurança de rede comercial. O servidor, se comprometido, não pode acessar os outros computadores.
- Manipula IP público corretamente. Esta solução usa um roteador como o item de nível superior, o que significa que ele pode usar o DHCP para atribuir endereços IP, dos quais falta um switch de rede.
Essa solução é semelhante à primeira solução, mas um roteador é usado em vez de um switch para fornecer o manuseio correto do IP.
Contras:
- Má eficiência. Ambas as redes precisam passar por 2 roteadores para obter internet.
Prós:
- Boa segurança. Nenhuma rede pode chegar diretamente à outra. Na pior das hipóteses, suponho que ocorra a detecção de tráfego (não tenho certeza).
- Manipula IP público corretamente. Esta solução possui um dispositivo de nível superior que pode usar o DHCP para classificar endereços IP.
Bottom Line
Não tenho certeza de qual solução funciona melhor. Existe uma solução melhor que eu não tenha pensado?
Também não tenho certeza de como configurar a melhor solução para que ela atenda à Internet de maneira adequada e segura a cada rede. O que preciso fazer com endereços IP, portas abertas e máscaras de sub-rede para cada roteador?
Nota: Sei que a falha do servidor tem uma baixa tolerância a perguntas que usam hardware de rede doméstica. Essa é realmente a única razão pela qual postei aqui - quero que minha pergunta seja respondida e não quero fazer política. Se este for o site errado, eu apreciaria se você pudesse movê-lo para o local correto. Obrigado.