Palvelimesta reititin muun toimintansa ohella

[Blah-]

Hei, olen suunnitellut että tekisin omasta kotipalvelimestani reitittimen kotiverkkooni kun nykyinen reititin on niin rajoittunut ominaisuuksiltaan (10 nat sääntöä max...) ja paremmat reitittimet on aika hintavia. Ideana olisi siis että laittaisin palvelimeen toisen verkkokortin, kytkisin palvelimen suoraan talon ethernet verkkoon ja laittaisin vanhan reitittimeni palvelimeen kiinni toimimaan kytkimenä/wlan tukiasemana muille koneille.

Löysin jonkun simppelin ohjeen iptables configurointiin, mutta uskon että se ei yksinään riittäisi vaan pitäähän sitä vissiin myös olla dhcp tms palvelimella. Palvelin toimisi siis muun toimintansa (mm. apache, mysql, pari peliservusoftaa, yksi virtuaalikone) ohella myös reitittimenä. Miten homma kannattaisi hoitaa että ratkaisu olisi myös jossain määrin turvallinen?

[nm]

Iptables hoitaa palomuuripuolen, mutta jos kaipaat helppoutta asetusten tekoon, joku edustaohjelma tai muu valmis skripti voisi olla paikallaan. Ubuntun virallinen ratkaisu on ufw.

Kotiverkon DHCP- ja nimipalvelimeksi sopii dnsmasq.

NetworkManager voi aiheuttaa ongelmia etenkin dnsmasqin kanssa, joten kaikki NetworkManagerin palikat kannattaa poistaa palvelimelta ja käyttää verkon hallintaan Debianin perinteistä ifup/ifdown-järjestelmää ja /etc/network/interfaces -asetustiedostoa.

[Blah-]

Kiitos vastauksesta. Vois koittaa viritellä ensin jonkun virtuaalisen verkon virtuaalikoneilla ja sillä opetella säätää homma oikein yhellä kertaa nii saan sit päivityspäivänä homman hoidettuu hetkessä.

EDIT: Kannattaako seuraavaa ohjetta seurata: http://ubuntuforums.org/showthread.php?t=926001 ?

[nm]

EDIT: Kannattaako seuraavaa ohjetta seurata: http://ubuntuforums.org/showthread.php?t=926001 ?

Vaikuttaa melko järkevältä, joskaan en itse ole erityisen ihastunut webmin-työkaluun. Useimmat perinteiset asetustiedostot ovat niin vapaamuotoisia, että graafiset asetustyökalut menevät helposti sekaisin tai sotkevat asetuksia, jos tiedostoihin on tehty manuaalisesti tavallisesta poikkeavia säätöjä.

Ufw on niin yksinkertainen, että et edes tarvitse työkalua asetustiedostojen tekoon. DHCP-palvelin voi olla hieman hankalampi ja etenkin dnsmasqissa on todella paljon asetuksia. Näistäkin selviää manuaalisesti ohjeita lukemalla.

Käytän tosiaan itse dnsmasqia siksi, että se hoitaa sekä DHCP-palvelun että paikallisverkon nimipalvelun. Dnsmasqin saa asetettua niin että muut Linux-koneet löytyvät kotiverkosta automaattisesti omilla konenimillään. Tämä on aika oleellinen ominaisuus esimerkiksi ssh-yhteyksiä tai melkein mitä tahansa palvelinohjelmia käyttäessä ja pääasiallinen syy siihen miksi käytän dnsmasqia NAT-boksin DHCP-palvelimen sijaan. Joskus aikoinaan ennen kuin viitsin opiskella DNS:n asentamista, oli kotiverkossa käytettävä kiinteitä osoitteita ja /etc/hosts-tiedostoon listattuja nimiä.

[jekku]

Mihin muuten tuolle dnsmasq:ille kerrotaan lokaalin verkon detaljit?
(domain ja koneiden osoitteet?)

Edit: Vai oliko kuitenkin niin että se jakaa oman /etc/hosts -tiedostonsa?

Kun palvelun uudelleenkäynnistyksen jälkeen ilmeisesti löysi 'puuttuvan' koneen?

[leal]

kun nykyinen reititin on niin rajoittunut ominaisuuksiltaan (10 nat sääntöä max...)

OpenWrt tai DD-WRT?

[nm]

Mihin muuten tuolle dnsmasq:ille kerrotaan lokaalin verkon detaljit?
(domain ja koneiden osoitteet?)

Edit: Vai oliko kuitenkin niin että se jakaa oman /etc/hosts -tiedostonsa?

Kun palvelun uudelleenkäynnistyksen jälkeen ilmeisesti löysi 'puuttuvan' koneen?

DHCP:n osalta dnsmasqilla on sisäinen lista (/var/lib/misc/dnsmasq.leases) MAC-tunnuksista ja niille annetuista osoitteista. Listassa on myös nimi, joka saadaan koneelta itseltään ja jota käytetään dnsmasqin tarjoamassa nimipalvelussa. Linux-koneiden tapauksessa tämä nimi on /etc/hostname-tiedostossa määritelty konenimi. dnsmasq.leases-tiedostoa ei pidä muokata itse vaan kaikki säädöt tehdään dnsmasqin asetustiedostoon (/etc/dnsmasq.conf). Tarkista lisäksi, että /etc/default/dnsmasq -tiedoston asetukset ovat oikein.

Minkään koneen /etc/hosts-tiedostossa ei tarvitse tehdä dnsmasqia varten määrityksiä, kunhan kaikki muut koneet saavat osoitteensa DHCP:llä. (Tämä on ainakin minulla toiminut parhaiten, eli vain reitittimellä ja dnsmasq-koneella on kiinteät IP:t). Jos haluat määritellä jollekin koneelle tietyn vakio-osoitteen, sen voi tehdä koneen nimen tai MAC-osoitteen perusteella dnsmasq.confissa.

Käytän itse suunnilleen tällaisia asetuksia /etc/dnsmasq.conf -tiedostossa:

Koodia: [Valitse]

# Älä selvitä muiden DNS-palvelimien avulla osoitteita, joissa ei ole domain-osaa.
# Netin palvelimet eivät kuitenkaan pysty vastaamaan sellaisiin kyselyihin ja
# turhat kyselyt vain kuormittavat verkkoa.
domain-needed

# Älä anna eteenpäin osoitteita, joihin ei ole reittiä
bogus-priv

# Muut nimipalvelimet, joilta kysellään silloin kun paikallisessa
# tietokannassa ei ole osoitetta. Esim. OpenDNS
server=208.67.222.222

# Paikalliset domainit. Näihin viittaaviin kyselyihin vastataan vain
# dnsmasqin oman DHCP-tietokannan tai /etc/hosts-tiedoston perusteella
local=/omadomain/

# Lisää domain automaattisesti /etc/hosts-tiedoston yksinkertaisiin konenimiin
expand-hosts

# Dnsmasqin oma domain. DHCP:n kautta osoitteensa saavat
# koneet lisätään myös tämän domainin alle.
domain=omadomain

# DHCP-palvelun dynaamisesti jaettavien osoitteiden alue. Liisausaika 12 tuntia,
# jonka jälkeen varmistetaan, että asiakaskone on edelleen verkossa ja uudistetaan
# tarvittaessa osoitevaraus.
dhcp-range=192.168.1.100,192.168.1.200,12h

# DHCP:n kautta annettava osoite järjestelmälle, jonka hostname on "kone1"
dhcp-host=kone1,192.168.1.21

# Nimi ja DHCP:n kautta annettava osoite järjestelmälle, jonka mac-osoite on 11:22:33:44:55:66
dhcp-host=11:22:33:44:55:66,kone2,192.168.1.22

# Oletusreitti, jos reititin on jossain muussa osoitteessa kuin dnsmasq:
dhcp-option=3,192.168.1.1


[jekku]

....
DHCP:n osalta dnsmasqilla on sisäinen lista (/var/lib/misc/dnsmasq.leases) MAC-tunnuksista ja niille annetuista osoitteista. Listassa on myös nimi, joka saadaan koneelta itseltään ja jota käytetään dnsmasqin tarjoamassa nimipalvelussa. Linux-koneiden tapauksessa tämä nimi on /etc/hostname-tiedostossa määritelty konenimi. dnsmasq.leases-tiedostoa ei pidä muokata itse vaan kaikki säädöt tehdään dnsmasqin asetustiedostoon (/etc/dnsmasq.conf). Tarkista lisäksi, että /etc/default/dnsmasq -tiedoston asetukset ovat oikein.
....
Käytän itse suunnilleen tällaisia asetuksia /etc/dnsmasq.conf -tiedostossa:

Koodia: [Valitse]

....
# DHCP:n kautta annettava osoite järjestelmälle, jonka hostname on "kone1"
dhcp-host=kone1,192.168.1.21

# DHCP:n kautta annettava osoite järjestelmälle, jonka mac-osoite on 11:22:33:44:55:66
# tai jonka hostname on kone2
dhcp-host=11:22:33:44:55:66,kone2,192.168.1.22
...


Hmm..

Tuo vaikuttaa kiehtovalta, 'DHCP:n kautta annettava osoite järjestelmälle, jonka hostname on "kone1"'
Toistaiseksi käytössäni on nimi per NIC (miksiköhän en ole edes kokeillut samaa), eli riippuen siitä onko tulossa lankaa vai wlania pitkin, ja joskus jopa molemmat.

Joten eth:lla oma osoite ja wlanilla toinen. Ihan kuten MACit ovat yksilöllisiä.

[nm]

Tuo vaikuttaa kiehtovalta, 'DHCP:n kautta annettava osoite järjestelmälle, jonka hostname on "kone1"'
Toistaiseksi käytössäni on nimi per NIC (miksiköhän en ole edes kokeillut samaa), eli riippuen siitä onko tulossa lankaa vai wlania pitkin, ja joskus jopa molemmat.

Joten eth:lla oma osoite ja wlanilla toinen. Ihan kuten MACit ovat yksilöllisiä.

Tämä voi olla ihan järkevä erottelu silloin kun kone voidaan kytkeä verkkoon samanaikaisesti eri NICien kautta. Minulla on kotona vain yksi kone, jota kytketään sekä langallisesti että langattomasti. Kun annan sille aina saman nimen, molempia kytkentöjä samanaikaisesti käytettäessä vain toinen niistä (ensimmäisenä kytketty) löytyy nimellä. Ongelmana on tällöin se, että kun nimetty kytkentä otetaan pois käytöstä, dnsmasq ei osaa vaihtaa nimeä sille toiselle kytkennälle ja konetta ei enää löydy verkosta nimellä ennen kuin lease päättyy tai kone laitetaan itse hakemaan osoitteensa uudelleen.