Forum

nawigacja: powrót do listy forów | Opinie, komentarze, pytania

Opinie, komentarze, pytania

do materiałów 'Bezpieczny internet'

Grzegorz2007-09-13 15:20 (17 lat, 3 miesiące temu)

Witam, pytanie do autorów materiałów 'Bezpieczny Internet'

Może będzie trochę przydługawo ale mam nadzieję, że wytrzymacie.

Sieć w szkole. Dostęp do Internetu poprzez router SpeedTouch 510 (działa również jako DHCP), wpięty do huba.
Kocepcja Squid + Dansguardian + Clamav bardzo by się przydała ze względu na przedpotopowe maszyny (Celeron 400 i Win98 oraz Win ME). Instalacja na takich komputerach antywirusa + jakiegoś kontrolera treści powoduje, że całość już ledwo zipie.

Przeprowadziłem testy konfiguracji według propozycji z ww materiałów. Niestety nie jestem do końca pewien czy wszystko do końca zrozumiałem.
Sprzętowo wygląda w tej chwili tak:
- serwer ma dwie karty siec. eth0 10.0.0.1 (do ROUTERA)oraz eth1 192.168.0.1(LAN) w materiałach jest odwrotnie z adresowaniem ale nie o to chodzi. Pytanie - czy kierunek do routera oznacza fizyczne połączenie eth0 z routerem czy może to być poprzez huba.
Dotychczasowe próby przy eth0 - hub niestety nie przyniosły pozytywnych rezultatów, tzn. serwer widzi Internet, klienci nie. Reguły iptables pracują a Dansguardnian ma razie jest wył.
Chodzi o to żeby część klientów miała dostęp do Internetu bezpośrednio przez router omijając serwer, który po 15 będzie wyłączony.
Bardzo proszę o pomoc. Na razie rozgryzam iptables, squida testowałem różne konfigi i nic. Nie jestem pewien na jakim etapie wszystko utyka. Ewentualnie jakieś podpowiedzi co do diagnostyki problemu.
Grzegorz

Jacek Fiok2007-09-15 00:12 (17 lat, 3 miesiące temu)

Odnoszę wrażenie (które jednakże może być mylne!), że mógł się Pan nieco pogubić.

Kilka uwag:

1. Samo istnienie huba jako takiego, w połączeniu serwera z routerem (w porównaniu do biegnącego 'po prostu' kabelka bezpośrednio) oczywiście nie przeszkadza.

2. Jeżeli część komputerów ma być podpięta hubem do routerka Speedtouch, to ten routerek musi mieć włączone DHCP dla nich;
A serwer powinien być serwerem DHCP dla sieci lokalnej za nim (i jednocześnie *nie* powinien być serwerem DHCP dla tej drugej - zewnętrznej dla siebie - sieci, w której już jest serwer DHCP - ten ze speedtoucha).

Oczywiście bramą dla komputerów uzyskujących IP przez DHCP ze speedtoucha powinien być speedtouch, a dla uzyskujących IP od serwera - serwer.

3. Myślę, że najprościej będzie, jeżeli serwer będzie robił NAT komputerów ze swojej lokalnej sieci na swój adres w swojej sieci 'zewnętrznej'.

Oczywiście serwer ma mieć adres na interfejsie 'zewnętrznym' (eth0) w takiej samej klasie jak router (czyli speedtouch jest skonfigurowany jako 10.0.0.x) i GW serwera powinien być router speedtouch.

4. Przy okazji: oczywiście nie znam specyfiki Pana lokalizacji, ale wymaganie, żeby serwer był wyłączany o 15, brzmi nieco dziwnie. Zazwyczaj dość *podstawową* możliwością (wręcz wymaganiem) dla *serwera* jest, żeby mógł i pracował całą dobę, w szczególności nie był wyłączany!

Często (żeby nie powiedzieć zazwyczaj) konfiguracja, że istnieje takie jedno urządzenie, przez które przechodzi cały ruch, jest po prostu lepsza - daje to duże możliwości chociażby kontroli, sterowania, czy nawet monitoringu ruchu poprzez uruchomienie czegoś w jednym miejscu. W Pana przypadku jedynym takim punktem byłby routerek Speedtouch; ale on się do niczego mądrzejszego nie nadaje - to jest de facto prosty modem, załóżmy na użytek tego postu - ma z grubsza zero jakiejś mądrzejszej logiki.

nawigacja: powrót do listy forów | Opinie, komentarze, pytania