Обратный прокси на виртуальной машине. Это безопасно?

Question

[metanal]

Добрый день. Помогите ламеру правильно все настроить.
Исходные данные:
есть написанное мной api на backend сервере на 1с. Сервер в локальной сети за роутером. Есть мобильное приложение, которое подключается к api через постоянный vpn. Сейчас подключение только по http. В будущем https.
Что хочу сделать:
Исключить vpn из этой схемы
Как планирую это сделать:
На backend сервере поставить virtualbox с ubuntu. На нем поднять nginx и настроить на нем обратный прокси. виртуальную машину в dmz посредством роутера.

Это нормальный вариант? или подскажите пожалуйста как сделать правильно.

Простенький роутер. открыт только для впн. файрвол на фронте само собой. трафик только http.
На хостинге конечно хорошо и правильно. Но стоит денег. Пока не целесообразно. Поэтому интересно именно про виртуальную машину.

Comments

[metanal]

Роутер наружу открыт только для впн. Роутер простенький.
Не будет ли проблемой виртуальный LAN интерфейс?

На виртуальной машине будет запрещено все файрволом кроме входящих http(s) и исходящих на http сервера.

[DevMan]

metanal для ответов на ответы существуют комментарии под ответом.

Answer 1

[buzina_v_ogorode]

Если роутер не имеет уязвимостей и DMZ будет только адрес этой виртуальной машины и доступ этой виртуальной машине будет перекрыт (о чем вы не упомянули) никуда кроме как за пределами роутера и API - то вполне.

Answer 2

[АртемЪ]

Как-то все слишком мудрено.
По сути вам нужен безопасный бэк к которому не имеют доступ сторонние пользователи, и фронт который напрямую работает с пользователями.

В качестве фронта - nginx который будет работать с пользователями. Где его размещать не суть важно.
Хотя гораздо удобнее сделать это на какой-нибудь хостинговой площадке, чем держать в своей сети.
А уж защита бэкэнда - тут все элементарно. Простое правило для файервола разрешающее доступ к бэку только с одного IP адреса.