Максим Гришин

Во вланы нужно выносить машины, которые должны иметь возможность видеть друг друга на L2, но не видеть остальные в той же физической сети. Маршрутизацию нужно строить в таком случае с помощью policy based routing (понятие гуглится, вариант настройки на каждом роутере свой). Условно говоря, исходящие пакеты с какого-то внутреннего IP помечаются флагом, дальше при проверке правил маршрутизации одно из правил отправляет пакет в таблицу с маршрутом по умолчанию, отличным от общего. Обратные пакеты дойдут штатным образом, так как правило NAT-трансляции покажет корректный айпи-адрес. Надо целую группу направить - метим тем же флагом пакеты от всех IP узлов этой группы.

PS: на д-линке и прокси вланы не нужны уже, так как они доступны только через L3.

Базы есть, API нет, а порталы для проверки информации в TOS содержат фразу "запрещено парсить ботами". whois.ripn.net один из порталов, а сама база доступна тут https://www.ripe.net/manage-ips-and-asns/db (они её и хостят, и поддерживают).

Без NAT'a - локалка весь интернет, то есть ничего дополнительно делать не нужно, разве что открыть порт для всех через iptables или что у вас там за файрволл. С NAT'ом - нужно делать на роутере проброс порта (какого-либо tcp) на локальный адрес порт 22 (или где у вас ssh), иначе не откроете.

Нет - они не умеют speculative execution или branch prediction, на которых строятся эти уязвимости.

Split DNS надо делать, если ваш exchange доступен по частным адресам. То есть создать зону subdomain.site.ru на внутреннем DNS, занести туда все записи из публичной зоны, но с теми адресами, которые должны быть доступны изнутри.

Надо было поставить флаг "разрешить управляющей ОС разделять интерфейс" на vSwitch который для локалки.

Системные логи сервера БД. Если БД не локально на сервере с заббиксом, то ещё и пинг до него.

Проще будет DNS внутри поднять, чтобы тот же адрес, который снаружи мапится на IP гейта, внутри мапился на IP сервера, и всё.