Kirjoittaja Aihe: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin  (Luettu 7034 kertaa)

PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Aargh, alan olla lopen kyllästynyt siihen että tuo Zyxelin P660 adsl-routeri tekee ihan mitä tahtoo konfiguroinneista riippumatta... Portit eivät vaan aukea vaikka kuinka konffaa ja sitten välillä homma tökkää kokonaan ja liikenne täysin jumiin vaatien zyxelin boottauksen...

Perusongelma sille että en voi käyttää 5:llä julkisella osoitteella laitteitani on se että mulla on tarve privaatille sisäverkolle jossa on palveluita, kuten tulostin, ubuntu-server levypalvelimena, Dreambox digiboksina jne...

Nyt pitäisi rakentaa seuraavanlainen ratkaisu:

Zyxeli laitetaan raa'asti siltaavaksi ja sieltä tulee max 5 julkista ip:tä läpi ilman mitään suodatuksia.

- Ne koneet jotka eivät tarvitse verkon palveluita saavat julkisen osoitteet ja tarvittavat fw-säännöt tehdään softapalomuurilla käyttiksellä xp/vista/win7

- Ubuntu 9.04 serveristä (joka saa siis julkisen osoitteen) siitä pitäisi tehdä:
          DHCP-serveri joka jakaa osoitteet 192.168.1.0 osoiteluokasta maskilla 0
          mutta pitää määritellä nykyiset kiinteät osoitteet maccien perusteella entiseksi (edit: ei välttämättä vaan kiinteät ip:t)

Kysymys: silloinhan Ubuntusta tulee samalla myös gateway kone ja tämä tarkoittanee sitä että tuon privaatissa osoiteluokassa olevien koneiden liikenne ulospäin nettiin menee tuon Ubuntun kautta, eikös? Sisäinen liikenne ei mielestäni mene koska verkossa on kytkin ja samassa luokassa olevien koneiden välillä ei tarvitse reitittää mitään...

- Tämän lisäksi onko järkevää (tai pakko) tehdä tuosta ubuntusta palomuuri sisäverkon koneille vai avata sisäverkolle kaikki liikenne ja tehdä palomuurimääritykset sisäverkon koneissa itsessään?

- Lisäksi jos johonkin sisäverkon koneista pitää päästä ulkopuolelta kiinni niin miten ubuntuun konffataan Natti ulko-osoitteesta sisäosoitteeseen?

Pääsisikö näillä kyssäreillä yhtään kiinni asiaan? Tarkennan jos ja kun tulee tarvetta.

Tarkennus: Pitääkö tässä ratkaisussa olla ubuntu-palvelimessa 2 fyysistä verkkokorttia? Osaako ubuntu yhdellä verkkokortilla toimia yllämainitusti?
« Viimeksi muokattu: 24.09.09 - klo:23.08 kirjoittanut PaHa »

mikko_h

  • Käyttäjä
  • Viestejä: 202
    • Profiili
Vs: Miten tekisin dhcp-palvelimen
« Vastaus #1 : 24.09.09 - klo:21.48 »
Nyt on ulkopuolisen hieman vaikea hahmottaa verkkosi topologiaa. Olenko siis ymmärtänyt oikein, että:

- adsl-routerissa on vain yksi paikallisen verkon ethernet-portti, tai ainakaan muita portteja ei ole tarkoitus sillaksi muuttamisen jälkeen käyttää

- on olemassa yksi erillinen kytkin, johon tulee kiinni nuo julkisen ip:n saavat laitteet

- perustettavaan sisäverkkoon tulisi uusi erillinen kytkin

Vastauksena selviin kysymyksiin: Linuxin NATin konfiguroimiseen löytyy runsaasti How-to -tyyppisiä ohjeita. Mielestäni palomuuri on helpompi konfiguroida yhdessä paikassa kuin erikseen monessa, joten tekisin sen Ubuntu-reitittimessä. Sisäverkon koneisiin voi jättää oletusasetukset tai palomuurin kokonaan pois.

Sinänsä pelkkä DHCP-palvelu ei edellytä, että kone olisi gateway tai että siinä olisi useampi verkkokortti, tosin jos saman koneen on tarkoitus antaa osoitteita sekä sisä- että ulkoverkon koneille, niin silloin sen on tietysti kuultava molempien verkkojen liikenne. NAT ja reititys ulkoverkosta sisään vaativat yhden kortin ulkoverkkoon ja toisen sisään, tosin mahdollisesti enempi edistyksellisten kytkimien kanssa voi järjestää portteja eri verkkoihin samasta kytkimestä, mutta tuommoinen viritys menee kyllä aika monimutkaiseksi.

PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Vs: Miten tekisin dhcp-palvelimen
« Vastaus #2 : 24.09.09 - klo:22.58 »
Yksi kuva on parempi kuin muutama sana... yritän raapustella... zyxelissä on useampi kytkinportti ja sen lisäksi löytyy vielä yksi 8-porttinen kytkin jne... zyxelin kytkimen portit ovat vaan nimensä mukaisesti kytkimen "tyhmiä" Layer2 -portteja ja jos zyxelin konffaa bridged-moodiin niin työasemat (missä tahansa sisäisessä kytkinverkossa) saavat julkisen ip:n suoraan ellei niihin ole konffattu privaattia sisäistä ip-osoitetta ja sisäistä oletusgatewayta (ubuntu) joka tässä tapauksessa on myös reititin...

Palaan asiaan kuvan kanssa...

zafner

  • Käyttäjä
  • Viestejä: 25
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #3 : 25.09.09 - klo:00.55 »
Yksi ratkaisu on, että jokaisella koneella on kaksi ip-osoitetta samalla verkkokortilla: staattinen ip lähiverkkoa varten ja isp:lta saatu dynaaminen ip internettiä varten.

/etc/network/interfaces
Koodia: [Valitse]
auto eth0
iface eth0 inet dhcp

auto eth0:0
iface eth0:0 inet static
address 192.168.1.5
netmask 255.255.255.0

Tämän jälkeen verkko pitää vielä käynnistää uudestaan.
Koodia: [Valitse]
sudo /etc/init.d/networking restart

windowsissa (ei taida toimia vistassa/seiskassa)
http://www.petri.co.il/configure_tcp_ip_to_use_dhcp_and_a_static_ip_address_at_the_same_time.htm

Jos kuitenkin päädyt siihen, että teet oman dhcp-palvelimen verkkoon, niin sitten pitää huolehtia, että sisäverkkoon ei pääse vahingossakaan isp:n dhcp-tarjouksia, koska muuten sisäverkon koneet saa dhcp-kyselyyn kaksi vastausta ja ne valitsevat niistä vain toisen. Todennäköisesti valinta on aina sisäverkon dhcp-palvelimen osoite, koska se tulee nopeammin, mutta joissakin tapauksissa se saattaa olla myös isp:n.

PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #4 : 25.09.09 - klo:09.22 »
Tuo esittämäsi ratkaisu vaikuttaisi aika mainiolta... tosin sisällä koneita: 1 x XP, 1 x Vista, 1 x Win7, 1 x Ubuntu, 1 x Dreambox....

Pääsääntöisesti kaikilla koneille voidaan hakata osoite kiinteäksi koneeseen mutta olisi kyllä loistava ratkaisu jos saisin koneelle kaksi osoitetta... Mutta laitan kuvatusta jahka ehdin, niin toivottavasti tulee asia selvemmäksi...

Taro Turtiainen

  • Käyttäjä
  • Viestejä: 579
    • Profiili
    • Taro Turtiainen
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #5 : 25.09.09 - klo:09.58 »
Onkos tämä tuttu?

http://www.smoothwall.org/

Itse väkäsin tuon ykkös version kanssa joku 6 vuotta sitten Kevyt teksti pohjainen linux distro asentuu 200MHz pentium koneeseen. Toimittaa palomuurin, reitittimen ja dhcd:n tehtävät ihan kätevästi.
VASEMMISTOLIITTO - RIKKAUTTA JOLLA ON ARVOA

”Ei ole olemassa todellista vapautta ilman toisinajattelun vapautta.” Rosa Luxemburg 1918

PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #6 : 25.09.09 - klo:10.50 »
Juu "on". Mutta onnistuuko tuolla myös levyjaot, apache2, mysql, php webbiservu myös?

Ja hmm.... voinko ajaa tuota wmwaren päällä "ubuntun sisällä". Koska wmware pyörii ja siellä xp koska tarvitsen sitä yhden ohjelmiston pyörittämiseen....
« Viimeksi muokattu: 25.09.09 - klo:11.00 kirjoittanut PaHa »

Taro Turtiainen

  • Käyttäjä
  • Viestejä: 579
    • Profiili
    • Taro Turtiainen
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #7 : 25.09.09 - klo:11.13 »
Juu "on". Mutta onnistuuko tuolla myös levyjaot, apache2, mysql, php webbiservu myös?


Nyky versiosta en mene sanomaan mitään, mutta epäilen ettei onnistu. Mulla ei ole kokemusta tuosta uudesta 3 versiosta.
VASEMMISTOLIITTO - RIKKAUTTA JOLLA ON ARVOA

”Ei ole olemassa todellista vapautta ilman toisinajattelun vapautta.” Rosa Luxemburg 1918

veekoo

  • Käyttäjä
  • Viestejä: 443
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #8 : 25.09.09 - klo:12.51 »
Kun kerran haluat päästä zyxelin palomuurista eroon, niin tosiaan pistä se siltaavaksi ja sitten joko

a) pistä sen eteen uusi palomuuri, joka jakaa Internet-liitynnän NATtaamalla muille koneille. Sisäverkko ja ulkoverkko pysyvät siististi erillään ja saat toimivan systeemin nopeasti. Jos haluat viilattavan palomuurin, niin osta sellainen purkki johon voi pistää linux:in (esim. www.dd-wrt.org)

tai

b) pistä palvelimeen kaksi LAN-korttia: sisäverkko ja ulkoverkko ja palvelin toimii NAT-palomuurina. Vaatii viilaamista, eikä lopputulos ole sitten edellistä kummoisempi.

Se sinun systeemisi kuulosti siltä, että osa koneista olisi virallisilla osoitteilla ja osa privaattiosoitteilla samassa verkossa. Tuo olisi tietysti mahdollista rakentaa, mutta esim. millä säätelet miltä DHCP-palvelimelta (oma vs. operaattori) osoitteet koneelle tulevat?

PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #9 : 25.09.09 - klo:17.42 »
a) ei huvittaisi ostaa tuohon "kunnon" palomuuria... vaikkakin voisin saada tuohon tarkoitukseen pienen Ciscon Pixinkin ihan ilmaiseksikin... mutta kun niiden konffaamisessakin on omat juttunsa...

b) jepjep... mutta luotan enemmän siihen että linuxin määritykset toimivat paremmin kuin tuon zyxelin joka avaa/sulkee noita portteja ihan omaksi huvikseen riippumatta määrityksistä... Vaikka kuinka on laitettu natit kuntoon ja palomuuri päällä ja portit auki tai fw kokonaan pois päältä niin ei vaan toimi niin kuin pitäisi...

Kuva ratkaisusta olemassa tässä liitteenä ja juu ei ole ongelma laittaa toista verkkokorttia ubuntuun kiinni... Pääsettekö nyt kiinni ajatukseeni...

Viimeiseen kappaleeseen... eikun kele... joo... pystynkö mistään määrittelemään win-työasemassa mistä dhcp:stä hakee? Jos en, niin sitten teen niin että dhcp:llä tulee julkiset osoitteet suoraan ja sisäverkossa liikennöivät (ja ubuntun kautta ulos) koneet määritellään kiinteät osoitteet suoraan koneen verkkoasetuksiin...

Toinen vaihtoehto on se että kaikki saavat dhcp:lla privaatit osoitteet (viittaus edelliseen kyssäriin jos haluan että osoitteet tulevat vain ubuntusta, miten estän se että zyxelin läpi ei bridged-tilassa tule myös 4 vapaana olevaa julkista) ubuntusta ja ubuntussa sitten avaukset kuntoon että jokainen kone saa tarvittavat portit auki (ja esim. pojan kone olisi koko ip auki)

edit: kuvassa sellainen virhe että ubuntun oikea paikka lienee kahdella verkkokortilla tuossa zyxelin ja kytkimen välissä

[ylläpito on poistanut liitteen]
« Viimeksi muokattu: 25.09.09 - klo:17.46 kirjoittanut PaHa »

Ripa

  • Käyttäjä
  • Viestejä: 196
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #10 : 25.09.09 - klo:17.55 »
Mulla kans Smoothwall

Versioss 2.0 ja 3.0 hallinnan saa tehtyä kokonaan graafisesti web-selaimella
DHCP palvelimen hallinta helppo, mulla osoitteet sidottu v-kortin MAC-osoitteisiin
jos sulla omia palvelimia verkossa, niin palomuurin hallinta / reittykset helppotehdä.

Hyvät graafiset "mittarit"
näet erikseen verkkoon tulevan / lähtevän liikenteen realiajassa
samoin voit seurata mikä verkon ip-osoite aiheuttaa miten paljon kuormaa (onko varettajia) ym.

Haittapuolet
vaatii oman koneen johon ei kannata sulloa mitään www.palvelimia ym.

ps. kone ei tartte näyttöä / näppistä koska kokonaan etähaääittava
kaksi verkkortia pitää olla (kome jos haluat DMZ:n palvelimille)

pystytys aika tyhjään koneeseen 10 min konffaus 15 min perusverkkoon.

PPs. palomuuriin ilmestyy testatut pätchit, joten ylläpito 5 min / viiko kun tarkistaa tilanteen.

ja viellä lopuksi siinnä on mukana suoraan DynDNS tuki


PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #11 : 25.09.09 - klo:18.32 »
Hmm... hitto... yxi kone lisää tuottamaan lämpöä... löytyisi kyllä yksi ikivanha pena tuohon tarkoitukseen... Ainoa mikä mietityttää on se että silloin kaikki liikenne sisään/ulos menee tuon kautta mutta tuskin kai tuo voi sellainen pullonkaula olla millään kun on 8/1 liittymä...

Käynnistyyköhän kone muuten ilman hiirtä/näppistä...

Anyway harkinnassa.. mutta mites tuo mun kuvan perusteella jos tekisinkin sen ubuntulla?

veekoo

  • Käyttäjä
  • Viestejä: 443
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #12 : 25.09.09 - klo:22.14 »
Minä ajattelin palomuuriksi lähinnä jotain Linksys/Buffalo 50 eur WLAN-tukiasema/palomuuria DD-WRT-linuxilla. Vaikka et siitä zyxel-palomuurista tykkääkkään, niin ei tarvitse kaikkia pikku palomuureja tuomita sen perusteella.

Minä ainakaan en pistäisi vanhaa penaa pelkäksi palomuuriksi. Vie sähköä, metelöi ja liikaa liikkuvia osia (kovalevy, tuulettimet jne).

edit: kuvassa sellainen virhe että ubuntun oikea paikka lienee kahdella verkkokortilla tuossa zyxelin ja kytkimen välissä

Tuokin on ihan kelvollinen vaihtoehto. Sitä varten tarvitset vielä työkalut palomuurin konfigurointiin palvelimeen. Iptables-sääntöjen konffaus suoraan skripteillä ei ole välttämättä paras tapa tehdä ensimmäistä omaa palomuuria. Fwbuilder voisi toimia, mutta se taitaa enempi olla sellainen työaseman palomuurikonffaustyökalu. Shorewall -konffaustyökalu kuulostaa tähän tarkoitukseen lupaavammalta.

Sitten sinun pitäisi konfiguroida DHCP ja DNS palvelimeesi, mutta tämmöisessä kokoonpanossa dnsmasq hoitaisi sen ihan näppärästi.

mikko_h

  • Käyttäjä
  • Viestejä: 202
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #13 : 25.09.09 - klo:23.03 »
Zyxelin ja kytkimen väliin laitettuna kahden verkkokortin Ubuntu-loota kyllä hoitaisi nuo vaaditut toiminnot. Itse olen tehnyt palomuureja iptables-skripteinä ilman työkaluja, joten en tiedä, mitä kaikkea hienoa ja kätevää sen homman avittamiseksi on tyrkyllä.

Jäin ihmettelemään, että mihin tässä kaikessa tarvitaan mainittuja viittä julkista IP-osoitetta? Ne voi tietysti kaikki antaa Ubuntun ulospäin yhdistävälle verkkokortille ja sitten ohjata NATilla kuhunkin osoitteeseen tulevan liikenteen sisäverkossa haluttuun paikkaan, mutta onko tuo tarpeen? Siis onko viritelmässä ulkomaailmalle näkyviä palvelimia? Riittävätkö kytkinportit laitteille, jos Zyxelin porteista ei käytetä kuin yhtä (Ubuntuun menevää)?
« Viimeksi muokattu: 25.09.09 - klo:23.06 kirjoittanut mikko_h »

PaHa

  • Käyttäjä
  • Viestejä: 164
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #14 : 26.09.09 - klo:21.27 »
Sinänsä mihinkään ei tarvita 5 julkista ip-osoitetta.. .ne olivat vain kuvassa olemassa koska kuuluvat operaattorin palveluun...

Mulla noita purkkeja on ollut tässä muutamiakin testissä ja ainakin noihin zyxeleihin olen syvästi pettynyt... a) ei vaan ole portit auki vaikka kuinka ruuvaa ja b) sitten jos on vähänkin enemmän sääntöjä ja natteja ja vielä sitten liikennettäkin niin noi zyxelit hyytyvät sitten ihan täysin...

Jos ei olisi tarvetta privaatilla sisäverkolle niin homma olisi jo selvä aikoja sitten: kaikille julkiset osoitteet ja sillä siisti mutta kun on olemassa reititystarve niin on olemassa...

Ripa

  • Käyttäjä
  • Viestejä: 196
    • Profiili
Vs: Miten tekisin dhcp-palvelimen/routerin/natin/palomuurin
« Vastaus #15 : 27.09.09 - klo:20.33 »
Lainaus
Käynnistyyköhän kone muuten ilman hiirtä/näppistä..
Tosihyvin, jos sun emos ei jysähdä johonkin virheilmoitukseen näppiksen puutten takia.
Asennuksen aikana näyttö, näppis pakolliset.

K Oniostuuko web. FTP, SMB palvelimen pyöritys samassa koneessa?

V No saahan ne siihen asennettua mutta kokohomman idea on sitten menetetty.
Joku on rakentanut ja testannut kokoonpanoan ja julkaisee siihen jatkuvasti päivityksiä,
jos tuohon rautaan laitetaan 3 -4 palvelinta pyörimään pitää raudan tietenin olla tehokkaampaa
ja kokoonpano ei  sitten enään ole turvallisekai testattu.

Mulla on tuon Smooth muurin takana
- 2 kpl erillistä Apache palvelinat , eri raudoissa, eri ylläpitäjät
- Joomla palvelin ja samassa koneessa lisäksi etäkäytettävä GSM-tekstiviestien massalahetyspalvelin
- Zoneminder palvelin + jotain muuta pientä

Koneesa ei ole näyttöä, näppistä, hiirtä. Ei tartte koska hallinta tehdään oman, sitä varten suunnitellun
www- palvelun kautta. Tuota Smoothwall konetta ajetaan ajotasolla 3 (ei graafista käyttöliittymää) joten kaikki hallinta on tehtävä nimenomaan etäältä, jos ei halua alkaa tekstitiedostoja "puukottamaan".

PS tuota versiota 2.0 ajoin koneessa pentium II / 350 Mhz 256Mb muistia joten millaisia palvelimia laittaisitte tuollaiseen koneeseen pyörimään, palvelimet erikseen ei palomuuriin niin konffaus on yksinkertaista.

Jos tuossa palomuurissa haluaa pyörittää myös proxypalvelua, niin silloin vaaditaan hieman tehokkampikone ja muistia mielellään 512Mb. tai enemmän.  Mulla proxy pudottaa liikenne määrää noin 5% ei paljon, mutta kun data tulee omasta proxysta se tulee sitä 100Mb, mikä muuten täällä korvessa on vain haavetta.

Ennen kuin tyrmää Smmothin kannattaa katsoa missä vaitoehdossa on yhtä helpot, monipuolise ja selkeät .
Graafiset tilastot, kuoritusmittarit ja hallinta.

Helppokäyttöisyys on myös osa turvallisuutta.

Paihin haitta on se koneen kuluttama sähkö ja tuottama ääni.