Skip to main content

1anketa.uz

1anketa.uz — это единая скоринговая платформа, к которой подключаются банки и финтех-компании для выполнения скоринговых процессов. Сервис используется для проверки лимитов по рассрочке клиентов в режиме близком к реальному времени. Минимальный контур инфраструктуры обеспечивает публикацию веб-сервиса, защищённый доступ к данным и хранение статики в S3.

Сетевая топология

  • pfSense: единственная точка входа (NAT/Firewall/VPN), публичный IP на WAN, LAN: 172.19.10.1/24.
  • Подсеть: 172.19.10.0/24 (общая для ВМ).
  • Роли и адреса: — Web + Redis: 172.19.10.25 — MySQL: 172.19.10.22 — MongoDB: 172.19.10.23 — Redis (отдельный узел) — появится позже.
  • Статика: S3 провайдера (приватный бакет, версионность включена).
  • Интеграции: IPsec-туннели на pfSense для API банков и финтехов.
                                      Интернет
                                          |
                                   [ ПУБЛИЧНЫЙ IP ]
                                          |
                                +---------------------+
                                |    pfSense (NAT)    |
                                | Firewall / VPN /    |
                                |  IPsec к банкам     |
                                +---------------------+
                                          |
                                 LAN 172.19.10.1/24
                                          |
                 172.19.10.0/24 (общая внутренняя подсеть для ВМ проекта)
             ┌──────────────┬────────────────┬────────────────┐
             │              │                │                │
      +--------------+  +-----------+   +-----------+   +-----------+
      |  WEB + Redis |  |   MySQL   |   |  MongoDB  |   |  (Redis)  |
      |  .25 :80/443 |  | .22 :3306 |   | .23:27017 |   |   позже   |
      +--------------+  +-----------+   +-----------+   +-----------+
             |
             | исходящий 443 (узкие egress-правила)
             v
       +----------------------+
       |     S3 провайдера    |
       |  приватный бакет     |
       |  versioning: ON      |
       |  object lock: OFF    |
       +----------------------+

NAT (pfSense)

НаправлениеСервисWAN портПротоколLAN цельLAN портНазначение / комментарийСтатус
ВходящийHTTP → Web80TCP172.19.10.25 (WEB)80Публикация HTTP (LE/редирект)активно
ВходящийHTTPS → Web443TCP172.19.10.25 (WEB)443Публикация HTTPSактивно
ВходящийSSH (Forge) → DB8022TCP172.19.10.22 (MySQL)22Деплой/админ по ключам через Forgeактивно
ВходящийSSH (Forge) → MG8023TCP172.19.10.23 (Mongo)22Деплой/админ по ключам через Forgeактивно
ВходящийSSH (Forge) → Web8025TCP172.19.10.25 (WEB)22Деплой/админ по ключам через Forgeактивно

Внутренние правила доступа

  • Точка выхода к офису: CHR 172.19.10.254.
  • Назначение: доступ из подсети 172.19.10.0/24 к офисным сетям по Ipsec-туннелям.
  • Статические маршруты к офисным сетям задаются на pfSense и дублируются на каждом сервере 1anketa.
  • Default gateway для всех серверов: pfSense (172.19.10.1).

Доступ к S3

  • Бакет: приватный, Versioning: ON, Object Lock: OFF
  • Доступ приложения: Web (172.19.10.25) по HTTPS к эндпоинту провайдера; старый сервер — временный доступ на миграцию
  • CORS (через UI провайдера) — Allowed Origins: ваш фронтенд-домен (например, https://app.example.com) — Allowed Methods: GET, POST, PUT — Allowed Headers: * — Expose Headers: ETag, Content-Length, Content-Type — Max age seconds: 3000
  • При необходимости публичных ссылок — открыть только нужный префикс бакета политикой (остальное остаётся приватным)

Безопасность

  • Публикуется только Web (80/443) и нужные SSH-порты для Forge; БД/Redis не публикуются.
  • Для IPsec — минимальные селекторы и раздельные правила на интерфейсе IPsec.
  • Egress — по белому списку (Web → S3 и репозитории обновлений; остальным узлам — только необходимое).