Hallo an alle,
ich brauche mal Denkhilfe von euch, weil ich einiges nicht sortiert bekomme…sorry es wird jetzt etwas länger ;-).
Wir gehen über einen städtischen Glasfaseranbieter in Internet. Dahinter steht der Belwue Router und über den haben haben wir 8 statische IP-Adressen von Belwue in Betrieb. Eine davon gehört natürlich unserer lmn und ist in der Opnsense vergeben. Dahinter hängt dann wie üblich der lmn-Server, das Wlan Netz und die DMZ. Die anderen gehören unseren Webdiensten (2 Clouds, OSP, Wetterstationen, etc.). Wir haben gesubnettet, d.h. bei uns kommt das rote Netz über Vlan10 und den layer3 Router in den Proxmox Hypervisor. Dort hängen dann alle o.g. Server am virtuellen Switch von Vlan10. Die Webserver stehen alle direkt im roten Netz, was bisher kein Problem war, weil der Belwue-Router ja quasi eine DMZ erzeugt hat. Nach außen sind nur ganz wenige Ports offen (443, SSH, …). Soweit der Ist-Zustand.
Nun bekomme ich von der Stadt einen Router mit 10 statischen IP verpasst, was eigentlich ein Traum ist, weil sich quasi nichts ändert. Leider ist es wohl so, dass es technisch oder warum auch immer nicht möglich ist, für die neuen IP’s wie bei Belwue alles bis auf wenige Ports dicht zu machen. Also stehen meine o.g. Server jetzt vollkommen ungeschützt im Internet.
Jetzt zu meiner eigentlichen Frage…wie würdet ihr die Server in rot jetzt sichern? Eine einfache UFW-Firewall auf jedem der Server tut’s wohl nicht oder? Spontan würde ich die o.g. Server auch in die DMZ stellen aber mir ist dann völlig schleierhaft, wie ich das ganze Routing umsetze. Die Server haben dann ja eine IP aus der DMZ. Außen sollen sie ihre individuelle statische IP behalten (ich will keinen reverse Proxy!). Eine weitere Möglichkeit bietet vielleicht die Firewall vom Proxmox…da kenne ich mich aber nicht aus.
Könnt ihr mir beim Denken helfen?
Danke und VG
Dominik