Kirjoittaja Aihe: Palvelimen kytkentä.  (Luettu 3733 kertaa)

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Palvelimen kytkentä.
« : 04.06.09 - klo:22.30 »
Haluaisin yhdistää palvelimen internettiin ja lähiverkkoon kahdella verkkokortilla. Tällä hetkellä eth0 saa ip:n palveluntarjoajalta ja eth1 omalta reitittimeltä.
Käytössä on siltaava kaapelimodeemi johonka palvelin ja nattaava reititin on kytketty. Reitittimen takana on kodin muut koneet. Palvelimeen on asennettuna LAMP, print, ssh ja nfs serverit.

Lähiverkosta pitäisi päästä käyttämään ssh:ta, nfs:sää ja tulostinta joka on palvelimessa kiinni. Internetistä pitäisi päästä katsomaan nettisivuja sekä käyttämään ssh:ta.
Ja kaiken tämän pitäisi tapahtua fiksusti ja turvallisesti - eli miten?

Harri

edit. Luin juuri TOMATOsta joka ilmeisesti sopisi tuohon reitittimeen, olisikohan siitä ratkaisu ongelmaan? Onko kokemuksia?
« Viimeksi muokattu: 04.06.09 - klo:23.02 kirjoittanut HMi »

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #1 : 05.06.09 - klo:09.21 »
En täysin ymmärrä toteutuksesi ideaa / ajateltua rakennetta (esim. kotiverkon eth1: lle osoite DHCP: llä ?)  joten pari tyhmää kysymystä:

1) Ajatuksena on siis kahden verkkokortin toteutus, toinen netin suuntaan ja toinen kotiverkon suuntaan, ok.  Jos sinulla on "hardware" palomuuripurkki niin miksi laitat sen palvelinkoneen ja kotiverkon väliin (koska reititin antaa osoitteen eth1: lle vai käsitinkö ylläolevasta väärin) ?  Vai oliko noita reitittimiä kaksi ??  Yleisempi tapa olisi laittaa se Internetin ja palvelinkoneen väliin sekä määrittää siihen "reikä" halutuille palveluille.    Et tarvitse palomuuripurkkia edes DHCP: n takia tuolla kotiverkon puolella, laitat vaan kotiverkon puolelle (eth1) verkkokortille kiinteän 192.168.xx.yy osoitteen ja palvelimesi jakamaan kotiverkon IP-osoitteet DHCP-deamonin avulla.   

2)  Palomuuri "hardware"-purkkina ei ole välttämätön kun Linux kone itse on monipuolisesti määritettävissä oleva palomuuri.  Tietysti jos tuo sääntöjen määritys ei ole tuttua niin turvallisempi tapa lienee silloin kuitenkin laittaa se palomuuripurkki netin ja palvelimesi väliin, väärän säännön virheriski ehkä pienempi.

« Viimeksi muokattu: 05.06.09 - klo:09.48 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

veekoo

  • Käyttäjä
  • Viestejä: 443
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #2 : 05.06.09 - klo:09.46 »
Kyllä sen voi kahdella lähiverkkokortilla tehdä, mutta systeemistä tulee tarpeettoman monimutkainen (esim. tupla-default-gw:t jne) ja turvajutut joudut ratkaisemaan virittelemällä iptables-palomuuria palvelimeen eth1:a varten.

Pistä homma mieluummin seuraavasti: Palvelin yhdellä kiinteällä IP-osoitteella (esim. 192.168.1.10) palomuurin sisäpuolelle. Sitten palomuuriin porttimappaus niille palveluille, johon haluat päästävän ulkoa: TCP/21 -> 192.168.1.10, TCP/80 -> 192.168.1.10. Nyt pitäisi kaikkiin palveluihin päästä sisäverkosta ja WWW ja SSH on tavoitettavissa ulkoa.

Kaikista NAT-palomuureista löytyy  perus porttimappaus, joten Tomatoa et siihen tarvitse.


ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #3 : 05.06.09 - klo:10.01 »
100 % samaa mieltä nimimerkin "veekoo" kanssa. Olen kauan sitten uteliaisuudesta rakentanut myös tuon kahden kortin virityksen kaikine lisukkeinnen ja säätöineen mutta ehdotan vältttämään sitä. "veekoo": n ratkaisu on vähintään 10 kertaa käytännöllisempi.
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #4 : 05.06.09 - klo:10.18 »
100 % samaa mieltä nimimerkin "veekoo" kanssa. Olen kauan sitten uteliaisuudesta rakentanut myös tuon kahden kortin virityksen kaikine lisukkeinnen ja säätöineen mutta ehdotan vältttämään sitä. "veekoo": n ratkaisu on vähintään 10 kertaa käytännöllisempi.

Kiitos vastauksista.

Taidan taipua tuohon ratkaisuun että laitan palvelimen palomuurin taakse yhdellä verkkokortilla ja teen porttiohjauksen. Tomato tuli siksi mieleen kun tuo buffalon oma hallinta on jotenkin nihkeä, siinä on ongelmia salasanan kanssa ja muutenkin epäselvä, tomato näytti kovin selkeältä.

Miten määritän palvelimeen kiinteän ip:n?

Tällä hetkellä /etc/network/interfaces näyttää tältä
Koodia: [Valitse]
auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet dhcp

Harri
« Viimeksi muokattu: 05.06.09 - klo:10.28 kirjoittanut HMi »

veekoo

  • Käyttäjä
  • Viestejä: 443
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #5 : 06.06.09 - klo:18.28 »
Miten määritän palvelimeen kiinteän ip:n?

/etc/network/interfaces
Lainaus
auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.1[

/etc/resolv.conf
Lainaus
nameserver 192.168.1,1

Osoitteet, nimenomaan verkkotunnus (192.168.1) vaihdat sen mukaiseksi, mikä on palomuurissa määritelty sisäverkon osoitteeksi.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #6 : 06.06.09 - klo:19.52 »
Lainaus
Osoitteet, nimenomaan verkkotunnus (192.168.1) vaihdat sen mukaiseksi, mikä on palomuurissa määritelty sisäverkon osoitteeksi.

Tuon address kohdan valitsin sen mukaan minkä reititin oli koneelle antanut aiemmin, onko tämä näin hyvä? Yhteys ainakin toimii noilla säädöillä.

/etc/network/interfaces
Koodia: [Valitse]
auto eth0
iface eth0 inet static
address 192.168.11.4
netmask 255.255.255.0
gateway 192.168.11.1

/etc/resolv.conf
Koodia: [Valitse]
nameserver 192.168.11.1

veekoo

  • Käyttäjä
  • Viestejä: 443
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #7 : 06.06.09 - klo:20.24 »
Tuon address kohdan valitsin sen mukaan minkä reititin oli koneelle antanut aiemmin, onko tämä näin hyvä? Yhteys ainakin toimii noilla säädöillä.

Hyvältä näyttää. Jja jos se vielä toimii niin aina parempi  ;D

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Palvelimen kytkentä.
« Vastaus #8 : 06.06.09 - klo:20.40 »
Tuon address kohdan valitsin sen mukaan minkä reititin oli koneelle antanut aiemmin, onko tämä näin hyvä? Yhteys ainakin toimii noilla säädöillä.

Hyvältä näyttää. Jja jos se vielä toimii niin aina parempi  ;D


Nyt siirrytään conffaamaan tuota reititintä ja mielessä yhä edelleen se tomato mutta siitä sitten varmaankin ihan oma aihe.

Jälleen kiitos suuri kaikille avustaneille.