Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: HMi - 04.06.09 - klo:22.30
-
Haluaisin yhdistää palvelimen internettiin ja lähiverkkoon kahdella verkkokortilla. Tällä hetkellä eth0 saa ip:n palveluntarjoajalta ja eth1 omalta reitittimeltä.
Käytössä on siltaava kaapelimodeemi johonka palvelin ja nattaava reititin on kytketty. Reitittimen takana on kodin muut koneet. Palvelimeen on asennettuna LAMP, print, ssh ja nfs serverit.
Lähiverkosta pitäisi päästä käyttämään ssh:ta, nfs:sää ja tulostinta joka on palvelimessa kiinni. Internetistä pitäisi päästä katsomaan nettisivuja sekä käyttämään ssh:ta.
Ja kaiken tämän pitäisi tapahtua fiksusti ja turvallisesti - eli miten?
Harri
edit. Luin juuri TOMATOsta joka ilmeisesti sopisi tuohon reitittimeen, olisikohan siitä ratkaisu ongelmaan? Onko kokemuksia?
-
En täysin ymmärrä toteutuksesi ideaa / ajateltua rakennetta (esim. kotiverkon eth1: lle osoite DHCP: llä ?) joten pari tyhmää kysymystä:
1) Ajatuksena on siis kahden verkkokortin toteutus, toinen netin suuntaan ja toinen kotiverkon suuntaan, ok. Jos sinulla on "hardware" palomuuripurkki niin miksi laitat sen palvelinkoneen ja kotiverkon väliin (koska reititin antaa osoitteen eth1: lle vai käsitinkö ylläolevasta väärin) ? Vai oliko noita reitittimiä kaksi ?? Yleisempi tapa olisi laittaa se Internetin ja palvelinkoneen väliin sekä määrittää siihen "reikä" halutuille palveluille. Et tarvitse palomuuripurkkia edes DHCP: n takia tuolla kotiverkon puolella, laitat vaan kotiverkon puolelle (eth1) verkkokortille kiinteän 192.168.xx.yy osoitteen ja palvelimesi jakamaan kotiverkon IP-osoitteet DHCP-deamonin avulla.
2) Palomuuri "hardware"-purkkina ei ole välttämätön kun Linux kone itse on monipuolisesti määritettävissä oleva palomuuri. Tietysti jos tuo sääntöjen määritys ei ole tuttua niin turvallisempi tapa lienee silloin kuitenkin laittaa se palomuuripurkki netin ja palvelimesi väliin, väärän säännön virheriski ehkä pienempi.
-
Kyllä sen voi kahdella lähiverkkokortilla tehdä, mutta systeemistä tulee tarpeettoman monimutkainen (esim. tupla-default-gw:t jne) ja turvajutut joudut ratkaisemaan virittelemällä iptables-palomuuria palvelimeen eth1:a varten.
Pistä homma mieluummin seuraavasti: Palvelin yhdellä kiinteällä IP-osoitteella (esim. 192.168.1.10) palomuurin sisäpuolelle. Sitten palomuuriin porttimappaus niille palveluille, johon haluat päästävän ulkoa: TCP/21 -> 192.168.1.10, TCP/80 -> 192.168.1.10. Nyt pitäisi kaikkiin palveluihin päästä sisäverkosta ja WWW ja SSH on tavoitettavissa ulkoa.
Kaikista NAT-palomuureista löytyy perus porttimappaus, joten Tomatoa et siihen tarvitse.
-
100 % samaa mieltä nimimerkin "veekoo" kanssa. Olen kauan sitten uteliaisuudesta rakentanut myös tuon kahden kortin virityksen kaikine lisukkeinnen ja säätöineen mutta ehdotan vältttämään sitä. "veekoo": n ratkaisu on vähintään 10 kertaa käytännöllisempi.
-
100 % samaa mieltä nimimerkin "veekoo" kanssa. Olen kauan sitten uteliaisuudesta rakentanut myös tuon kahden kortin virityksen kaikine lisukkeinnen ja säätöineen mutta ehdotan vältttämään sitä. "veekoo": n ratkaisu on vähintään 10 kertaa käytännöllisempi.
Kiitos vastauksista.
Taidan taipua tuohon ratkaisuun että laitan palvelimen palomuurin taakse yhdellä verkkokortilla ja teen porttiohjauksen. Tomato tuli siksi mieleen kun tuo buffalon oma hallinta on jotenkin nihkeä, siinä on ongelmia salasanan kanssa ja muutenkin epäselvä, tomato näytti kovin selkeältä.
Miten määritän palvelimeen kiinteän ip:n?
Tällä hetkellä /etc/network/interfaces näyttää tältä
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet dhcp
Harri
-
Miten määritän palvelimeen kiinteän ip:n?
/etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.1[
/etc/resolv.conf
nameserver 192.168.1,1
Osoitteet, nimenomaan verkkotunnus (192.168.1) vaihdat sen mukaiseksi, mikä on palomuurissa määritelty sisäverkon osoitteeksi.
-
Osoitteet, nimenomaan verkkotunnus (192.168.1) vaihdat sen mukaiseksi, mikä on palomuurissa määritelty sisäverkon osoitteeksi.
Tuon address kohdan valitsin sen mukaan minkä reititin oli koneelle antanut aiemmin, onko tämä näin hyvä? Yhteys ainakin toimii noilla säädöillä.
/etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.11.4
netmask 255.255.255.0
gateway 192.168.11.1
/etc/resolv.conf
nameserver 192.168.11.1
-
Tuon address kohdan valitsin sen mukaan minkä reititin oli koneelle antanut aiemmin, onko tämä näin hyvä? Yhteys ainakin toimii noilla säädöillä.
Hyvältä näyttää. Jja jos se vielä toimii niin aina parempi ;D
-
Tuon address kohdan valitsin sen mukaan minkä reititin oli koneelle antanut aiemmin, onko tämä näin hyvä? Yhteys ainakin toimii noilla säädöillä.
Hyvältä näyttää. Jja jos se vielä toimii niin aina parempi ;D
Nyt siirrytään conffaamaan tuota reititintä ja mielessä yhä edelleen se tomato mutta siitä sitten varmaankin ihan oma aihe.
Jälleen kiitos suuri kaikille avustaneille.