Господа, нужен совет в реализации, и выборе ПО.
Что имеем, ВМ на esxi, на которых будут висеть не критичные вещи, которые могут иметь доступ из интернета, но недолжны быть в домашней сети.
Варианты, повесить в отдельную подсеть на роутере данные ВМ, с роутера прицепляться к удаленной арендованной vps, которая должна прикрывать реальные адреса провайдера.
Или создать отдельную ВМ, которая будет между vсвитчем вари, поднимать туннель до удаленного vps.
Ещё хотелось бы получить советов по безопасности удалённого vps.
Ничего такого, но хотелось бы прикрыть домашнего провайдера, от лишнего внимания из вне.
Я понимаю что дома у меня не будет sla 99, но и столько ресурсов купить на хостинге я не смогу, все сервисы не имеют никакой коммерческой подоплеки. Думаю многие так держат небольшие игровые сервера покатать с друзьями, или хостят страничку со всяким барахлом на память.
Непонятно. Что значит "не должны" и кто определяет, что там быть "должно", а что нет? Провайдер? Нет, ему поуху, пока его оборудование топить не начнете.
прицепляться к удаленной арендованной vps,
Типовое решение для подключения к сервисам извне при отсутствии белого IP. Либо, если VPS за бугром - для подключения с недружественных локаций.
по безопасности удалённого vps
безопасность всегда подразумевает нарушителя. От чего хотите защищиться?
Короче.
Есть пачка ВМ, все они будут за виртуальным свичом, виртуальный свитч имеет выход на ВМ2, которая а) недолжна давать возможности попадать в локалку\роутеры за ней, и сразу отправлять трафик на VPS.
VPS не должен переадресовывать трафик на ВМ, при этом желательно не раскрывать IP провайдеров.
безопасность всегда подразумевает нарушителя. От чего хотите защищиться?
Защитить максимально VPS, от получения доступа к ней.
Смысл в том что бы в случаее ddos, или еще какой фигни ни локальная сеть ни провайдер не пострадал.
Потому что выкинуть на улицу, какой либо сервис с домашним белым IP на мой взгляд глупо.
Pride_Winner, Ну, есть такие устройства - роутеры :) как раз их задача - держать сервисы "на улице" :) Это может быть микротик, линух или в самом крайнем случае соховский роутер какой-нибудь (там конечно полноценной защиты не будет).
Обычный рядовой гражданин нафиг никому не всрался ддосить его, а от остального - стандартный линух/микротик вполне защищает. У меня лет шесть дома стояла почта/веб - и ничего, работала, и провайдеру пиливать было на это.
Морочиться перенаправлять трафик на VPS имеет смысл, если будешь держать игрогвые сервера и опасаешься ддоса со стороны кункурентов :)
Так-то конфиг вполне рабочий, только ВМ2 должна быть не виртуалкой, а отдельным bare-metal устройством, чтобы в случае падения гипера и отсутствия тебя дома не пришлось бы по телефону команды побуквенно передавать :)
(однажды было такое, когда я так вот побуквенно переставлял FreeBSD в другом городе)
На VPS не подымаешь никаких ненужных сервисов, а все нужное ограничиваешь диапазоном IP. Управление только по ssh, и порт туннеля - и все, что надо, остальное - в сад.
Простой
Средний
Простой
