Как я защищаю свой узел хоста OpenVZ?
Из того, что я могу сказать, Ваша проблема - Вы, сделал два VLAN, и Вы изолировали серверы от подсистемы балансировки нагрузки. Ваша установка является излишне сложной
Если vlan 30 является Вашим "VLAN подсистемы балансировки нагрузки" затем, скорее всего, каждый порт на этих 3550 должен быть на доступе vlan 30.
Вы не должны должны быть настраивать VLAN на подсистеме балансировки нагрузки, если Вам на самом деле не нужна она, чтобы быть на нескольких VLAN. помещение vlan 30 на подсистеме балансировки нагрузки автоматически не означает, что именно на том же vlan 30 Ваши серверы работают. Так или выключить VLAN на подсистеме балансировки нагрузки, или устанавливают каждый порт коммутатора, который подает ее для магистрального vlan 10 и 30, и затем включите маркирование VLAN.
Настроить брандмауэр на узле HW сложно, так как вы должны учитывать весь трафик, проходящий через узел от / к вашим VPS, прежде чем включать брандмауэр на узле HW. Возможно, вам потребуется провести аудит и соответствующим образом настроить брандмауэр, если вы собираетесь использовать его в основном узле. Обычно контроллеры домена используют аппаратный брандмауэр для защиты узлов от атак, чтобы уменьшить накладные расходы узла на управление всем трафиком через брандмауэр (как вы можете предположить, брандмауэр узла должен управлять всем трафиком от / к VPS, который действительно повлияет на производительность, если на нем размещено несколько занятых VPS). В большинстве случаев будет достаточно отключения любой ненужной службы на главном узле (почтовая служба, служба принтера и т. д.) и отключения прямого корневого доступа.
Достаточно поддерживать систему вашего HN в актуальном состоянии и правильно настраивать правила межсетевого экрана. Я рекомендую использовать Shorewall вместо простого iptables, потому что его намного легче читать (и, следовательно, легче поддерживать в правильном состоянии). Существует специальная документация для настройки Shorewall при наличии OpenVZ.
Также не забудьте настроить sshd для аутентификации только с помощью закрытых ключей, а не паролей. Если вы должны использовать пароли, лучше будет хорошо. Если у вас iLO или аналогичный, подтяните и его.
Если вы используете стандартное автоматическое назначение IP-адресов Venet для дистрибутивов OpenVZ (как proxmox), вам нужны отдельные CSF / брандмауэры на хосте и виртуальных машинах. Это связано с тем, что в зависимости от вашего хостинга или конфигурации сети ваши Venet IP-адреса, назначенные виртуальным машинам, не обязательно должны быть защищены. Мы используем Proxmox PVE и устанавливаем отдельный CSF на хост и каждую виртуальную машину с общедоступным IP-адресом.