Делает ''-'' знак, имеют значение в rsyslog.conf

Обычно у Вас была бы демилитаризованная зона для чего-то вроде этого. Имейте DCS и сервер базы данных в доверяемой стороне Вашего брандмауэра.

Затем поместите свой веб-сервер в демилитаризованную зону и только откройте порты от демилитаризованной зоны, чтобы Положить, что необходимы, чтобы домен работал правильно (DNS, и т.д.) и чтобы веб-сервер связался с сервером базы данных.

Затем Вы открыли бы порты, необходимые для Вашего веб-сервера от Недоверия (вне трафика) к демилитаризованной зоне.

Существуют некоторые дебаты о том, должны ли критические серверы баз данных на самом деле быть на доверяемой стороне брандмауэра или в демилитаризованной зоне, она действительно зависит, но я предпочитаю не допускать их в демилитаризованную зону возможных, если они содержат критические данные.

За и против с размещением сервера базы данных - то, что серверы демилитаризованной зоны, более вероятно, будут поставлены под угрозу, потому что у них обычно есть больше сервисов, сталкивающихся с Интернетом. Это сделало бы Ваш сервер базы данных более вероятно для взлома, даже если он не имеет никаких интернет-услуг по направлению. Таким образом, это более безопасно в доверяемом интерфейсе (внутренняя сеть). Однако Вы затем подключаете сервер от своей доверенной стороны до демилитаризованной зоны, которая может потенциально подвергнуть Вашу надежную сеть злонамеренному действию. Если Вы только выставляете порты, необходимые для возможности соединения базы данных, этот риск обычно минимален. Поэтому я, лично, предпочитаю, чтобы серверы баз данных остались в доверяемом интерфейсе и просто открыли необходимые порты для демилитаризованной зоны только.