Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3007 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to protect multiple Web Servers in a colo rack?

tokios
Hi

How would I go about protecting a bunch of servers in a colocation rack in a data center?

Let say this is the scenario, I have rackspace in a datacenter. There is only ONE incoming port to this rack which is then connected to a local hub in the rack. The local hub is then connected to the server(s) in the rack. I have a small block of 20-30 public IPs behind this.
(Incoming ISP Port --> ASTARO --> Hub --> SERVERS W/PUBLIC IP)

What I would like to do is to firewall the servers in the rack. I know doing it with Private IP looks straight forward enough, but how do I do this such as that the servers still maintain public ips. Is this possible? Can I do it just on my end, or must I work with the data center to set up some static routes their router to route them to the ASTARO box

Thank you
 
 [size="1"][ 01 December 2002, 01:21: Message edited by: tokios ][/size]


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to mattan
    Hi, 

    What you want here is preferably a linknet (255.255.255.252) range in front of your firewall.
    and the firewall it self will have a 255.255.255.248/240 range behind it (protected side).
    Astaro can not operate as a bridge (at least not the last time I checked)     
    You migth have some luck with the proxy ARP stuff but I haven't really tested it so I'm not going to comment that any further....

    Brgds Espen
  • 0 in reply to Espen
    Question?  Are all of the ip's using the same domain name?  I ask this because I found that one way to get around this was to also set up DNS on the astaro box as well, but each ip was a different domain name.  This way, the server should be able to route to the appropriate server with the ARP services if set up correctly.  Also be sure to setup localhost ip's and domains on the individual servers if they are unix platforms.
  • 0 in reply to psychorugger
    I want to do the same, We are currently routed by our connection provider (on a cisco), but want more security. They told me that if we place a router, the router needs to route the ip numbers directly.

    We have 3 blocks of 60 ip nummbers. These are currently on switches. And we need direct ip numbers on every server. It is to much work to change all ip numbers on the servers, as these need to be online 99%. And these servers are in a datacenter and not a very good place to work (lots of fan noice by thousands of servers).

    Anyone if this is possible?
  • 0 in reply to ScvWebFire
    The best way, and I've done this many times, is to alias all the real IPs to the outside_interface in ASL, then setup DNAT (SNAT also if needed, but masq usually does it just fine) for the services you want... it's secure and clean.
  • 0 in reply to Roland Gaspar
    Well, are all the servers in the rack owned by the same party??? The only reson I ask is that, in that case, security is only as strong as your weakest link.  If one server is compromised, then they all are.

    Typically, in a Data Center enviorment, we will run through the firewall to a layer 3 switch with VLAN Agrregation/PVLAN enabled, and then switch out to the client servers.  This way, you can preserve IP space, and keep clients isolated.