[gelöst] 2 Provider-Zugänge einbinden

Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

[gelöst] 2 Provider-Zugänge einbinden

Beitragvon tomster » Di 29 Mai, 2007 14:44

Servus zusammen!

Ich stoße gerade an ein kleines Problem mit meiner Netzwerkkonfiguration, weil ich neben unserer Standleitung auch noch einen Kabel-Internetanschluß nutzen möchte.

Derzeitiges Szenario:
1 Linux-Server mit 2 NICs (1x WAN, 1x LAN) als Gateway. Das lokale Netz surft dabei über unsere SDSL-Standleitung und durch die feste IP betreiben wir unseren Web-Server darauf. Gefirewallt wird mit Firestarter.

Geplantes Szenario:
1 Linux-Sever mit 3 NICs (2x WAN, 1x LAN) als Gateway. Hierbei soll nun das lokale Netz zukünftig über WAN1 (Kabel-Zugang) surfen und der Webserver über WAN2 (SDSL) betrieben werden. Leider unterstützt wohl Firestarter (derzeit) keine multiplen NICs.

Hat jemand eine Idee, wie ich das geplante Szenario umsetzen kann (evtl. sogar mit Firestarter), bzw. wie ich die jeweiligen Netze firewall-mäßig sauber absichere? Danke im Voraus,
TOM
Zuletzt geändert von tomster am Mi 17 Okt, 2007 09:39, insgesamt 2-mal geändert.
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Beitragvon wicked_one » Di 29 Mai, 2007 17:11

indem du einen Routingeintrag machst der in etwa so aussieht

Source: LAN IP Netz
Destination: 0.0.0.0 oder any oder was weiss ich
Gateway: NIC des Kablemodems oder next hop oder was weiss ich.

somit wird jeder verkehr aus dem LAN kommend über das Modem nach aussen geroutet.. Firwalleinstellungen nach deinen Bedürfnissen.

Auf der SDSL NIC blockst du alles, insbesondere Traffic der fürs LAN bestimmt ist, ausser Port 80 für den Web-Server.

ob Firestarter das kann (ich nehm mal an es ist eine Linux Firewall???), kann ich dir nicht beantworten, aber spannender isses nicht.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon lordpeng » Di 29 Mai, 2007 20:55

ich würd die beiden dienste ned auf der selben maschine betreiben, bzw. den webserver unter umständen sogar virtualisieren ...
lordpeng
Moderator
Moderator
 
Beiträge: 10183
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon radditz » Di 29 Mai, 2007 21:28

ich denke der Befehl route und iptable(s) sind deine besten Freunde, wenn man die Semantik mal versteht
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon wicked_one » Di 29 Mai, 2007 22:36

ich würd die beiden dienste ned auf der selben maschine betreiben, bzw. den webserver unter umständen sogar virtualisieren ...


klingt auch sehr vernünftig für mich ... aber ob das Know-How reicht
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon Felis » Mi 30 Mai, 2007 09:47

Also ich kenne mich mit Iptables auch nicht aus, benütze aber als Frontend Shorewall. www.shorewall.net Dort kann ich in die /etc/shorewall/interfaces soviele Netzwerkadressen eintragen, wie ich will. Die Doku auf der Webseite ist hervorragend gemacht.
Felis
Board-User Level 2
Board-User Level 2
 
Beiträge: 812
Registriert: Fr 09 Jan, 2004 11:26

Beitragvon Felis » Mi 30 Mai, 2007 11:06

Virtualisieren ist übrigens gar nicht so schwierig. Unter www.vmware.com gibt's den VMware-server gratis. Man muss sich bloss registrieren lassen - was aber keinerlei Folgen hat - dann kriegt man eine Seriennummer. VMware-Server installieren, und dorthinein dann das "virtuelle" Betriebssystem installieren, bspw. für den Webserver. Dieses Gastsystem kriegt dann genauso eine IP-Adresse wie jeder andere Rechner im Netzwerk. Man kann "unendlich viele" Gastsysteme installieren. Bei mir hier laufen 2xWin98 unter Linux, was ich für einige Anwendungen brauche und mir so jegliches Rebooten erspare.
Zuletzt geändert von Felis am Mi 30 Mai, 2007 11:47, insgesamt 1-mal geändert.
Felis
Board-User Level 2
Board-User Level 2
 
Beiträge: 812
Registriert: Fr 09 Jan, 2004 11:26

Beitragvon zid » Mi 30 Mai, 2007 11:28

würd' iptables direkt nehmen. shorewall, firestarter setzen auf iptables auf. du hast also frontend f. frontend f. netfilter.
bei dir vereinfacht sich d. ganze, weil du e. fixe ip hast.

du könntest mit e. 0815 konfig für lan-nic <-> kabel-nic starten, damit wäre d. inernetzugang f. lan erledigt.
danach punktierst du d. input-chain f. jedes service, d. a. d. server läuft. dnat brauchst nicht wegen d. stat. ip, für d. rausgehenden pakete müßtest sicherheitshalber e. routing-policy setzen, da d. default route ja über kabel-nic geht, iproute2 ist dein freund.
zum schluß müßtest noch d. input-chain fürs lan öffen (ich denke, du wirst lanseitig auf d. server zugreifen wollen :-) ).
macht e. accept regel f. packets from lan + ev. e. route auf d. server f. dest. <dei.ne.stat.ip>.

lordpeng> "...ich würd die beiden dienste ned auf der selben maschine betreiben, bzw. den webserver unter umständen sogar virtualisieren ... "
das ist für mich d. krit. pkt. gateway + server collapsed ist vielleicht einfach zu konfigurieren, aber sicher nicht d. gelbe v. ei.
falls du e. modem/router hast, d. mindestens d. leistet, was e. st546 kann, u. darauf auch zugreifen kannst, dann könntest du d. es als gateway für beide zugänge verwenden u. hättest gateway v. server getrennt.

falls dir tipperei oben zuviel ist, wäre auch susefirewall2 (shell skript m. text konfig datei f. iptables)
e. möglichkeit, find ich einfacher u. flexibler als shorewall & co...
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Beitragvon tomster » Mi 30 Mai, 2007 12:31

Hui! Danke für die vielen Antworten!

Prinzipiell gehe ich mit jeder Eurer Meinungen konform. Ein VM-Server irgendwo auf der Welt ist natürlich möglich, von mir aber nicht gewünscht. Es handelt sich dabei um einen eher "privaten" Web-Server, der nur eine IP in der Firma belegt. Und auf Grund von meinen "Bastelprojekten", die allerhand unterschiedliche Ports/ Applications belegen, hab ich die Mühle eben lieber nebenan stehen.

Mir ist natürlich klar, dass ein "vernünftiges" externes Kastl (Router/ Modem) die Aufgabe auch lösen könnte, aber 1. hab ich (wenn die Leitung endlich kommt) nur das vom Provider gestellte und das kann erstmal gar nix und 2. bin ich ein Dickkopf und WILL das alles auf einer Maschine realisieren. Ich hab halt einfach etwas Sorge (besser mein Chef), dass z.B. ein ST546 als Router konfiguriert, ein zuu geringes Hindernis darstellt um in das lokale Netz und damit auf sämtliche Server/ Systeme zugreifen zu können. Drum wollte bei unserem derzeitigen Linux-Gateway bleiben.

Allerdings scheidet Firestarter wohl allein daher aus, als dass es "nur" 2 NICs verwalten kann. Dafür kann es aber auch von ein paar anderen Leuten bei uns bedient werden, falls ich einmal in meinem wohlverdienten Urlaub weit weg von Internets und Laptops weile. Soll meinen: GUI ist Pflicht!

Das lässt aber iptables (nicht dass ich mich in dessen Syntax je eingearbeitet hätte) stand-alone ausscheiden. Shorewall klingt nach einer Alternative, muss ich mir Mal anschauen. Gibt es dafür ein GUI?

Danke schon Mal für eure weiteren Antworten,
TOM
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Beitragvon Felis » Mi 30 Mai, 2007 12:42

Also, der VMware-Server läuft nicht irgendwo in der Welt, sondern auf deinem Rechner. Er stellt schlicht eine Umgebung her für einen separaten virtuellen Rechner. Es läuft also ein unabhänger Rechner in einer Sandbox auf deinem Rechner.
Für Shorewall gibt's keine GUI, aber in aller Regel sind nur 3-4 Dateien zu editieren. (/etc/shorewall/interfaces ..zones ...policy ..rules) und das ist in der Doku sehr gut beschrieben.
Felis
Board-User Level 2
Board-User Level 2
 
Beiträge: 812
Registriert: Fr 09 Jan, 2004 11:26

Beitragvon tomster » Mi 30 Mai, 2007 13:22

OK, dann wär VM-Ware eine Alternative. Schau ich mir das Mal an. Allerdings vermute ich, dass es dennoch 3 NICs benötigt, oder? Allein schon um dem Web-Server eine physische Verbindung zur entsprechenden IP zu verschaffen.

Nachtrag:
Hmm, diese Router-Lösung mittels 546 könnte doch seinen Charme haben. Auch wenn ich zwangsläufig das komplette LAN (nicht nur die Clients, sondern auch die Server, weil lokal ebenfalls erreichbar) dann NUR durch die Firewall des 546 von der Aussenwelt getrennt wäre, gell?! Mal bei ebay schauen, was so'n 546 kosten darf, so es denn mit einem Kabelmodem zusammenarbeitet...
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Beitragvon Felis » Mi 30 Mai, 2007 15:14

muss nicht immer Ebay sein..
link zum speedtouchshop
Felis
Board-User Level 2
Board-User Level 2
 
Beiträge: 812
Registriert: Fr 09 Jan, 2004 11:26

Beitragvon tomster » Mi 30 Mai, 2007 15:21

Stimmt hier am Forum-Script etwas nicht? Mich schmeisst's immer in's Portal, wenn ich Antworten will.

Also wenn ich die Specs vom 546 richtig verstehe, dann ist es ein klassisches ADSL-Modem, welches "nur" Routerfähigkeiten mitbringt. Schöne Features, aber dennoch dürfte es aber zur Kabel-Internet-Nutzung ähnlich geeignet sein wie meine rechte Socke ;-) Kabel und XDSL haben ned viel gemeinsam, gell?!

Bleibt wohl nur dieses Setup:
Kabeldose -> Kabelmodem -> Router -> LAN

Dabei sollte der Router eben ein vernünftige Firewall mitbringen (so wie die des 546). Any suggestions?
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Beitragvon jutta » Mi 30 Mai, 2007 15:24

@Felis: ich hab deinen link etwas verkuerzt.

@tomster: vorsicht: das st546 ist ein adsl-modem. ihr habt afaics sdsl und kabel. du muesstest also einen router nehmen und kein modem.
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon tomster » Mi 30 Mai, 2007 15:30

@jutta

Da haben sich unsere Postings wohl überschnitten...

Genau das habe ich gemeint. Das 546 ist die falsche Wahl. Hat wer eine empfehlung für einen "vernünftigen/verhältnismäßig sicheren" Router mit entsprechend guter Firewall?

Mir ist nämlich grad noch eingefallen, dass man ja die IP des Routers in die FWs der Server in die Blacklist eintragen könnte, dann dürfte Traffic über das Kabelmodem/ Router auch nicht auf die Server kommen, oder?!
tomster
Neu im Board
Neu im Board
 
Beiträge: 22
Registriert: Di 10 Okt, 2006 11:54
Wohnort: München

Nächste

Zurück zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 29 Gäste