Debian Etch mit zwei "getrennten" Netzwerken

Markus Raffler - Sonntag, 21. Dezember 2008 21:41:54 - 2 Antworten

Hallo Gemeinde,

ich habe ein Problem mit der conf meines Servers (Debian Etch 4).
Der Server hat 2 NIC's, eine ist i.M. aktiv und für das "externe" (Webserver)
zuständig.
Nun möchte ich die 2. NIC in mein lokales Netz einbinden (schnellerer Zugriff
von Büro aus).
Zur Frage:
wie muss ich das einrichten damit ALLE services des Servers die "externe" NIC
benutzen, und NIC "intern" nur fürs LAN zusändig ist ?
Die Config die ich bisher habe (die Probleme u.a. mit Postfix macht):

#route:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
localnet * 255.255.255.240 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default port-87-193-155 0.0.0.0 UG 0 0 0 eth0

/etc/network/interfaces:
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 87.193.155.X
netmask 255.255.255.240
network 87.193.155.X
broadcast 87.193.155.X
gateway 87.193.155.X
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 213.148.129.10
dns-search xxx.de

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.200
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

danke für die Hilfe

Slacki

Antworten
Antwort
Christian F., Montag, 22. Dezember 2008 07:29:29
Ein/Ausklappen

Hi!

Es gibt mind 2 Möglichkeiten:

- zum ersten kannst du alle Dienste umkonfigurieren, dass sie nur eth0 verwenden. Dies ist aber relativ aufwändig und du könntest einen oder mehrere Dienste "vergessen" Deshalb müsstest du also vom LAN aus nachsehen, ob alle Ports geschlossen sind.

- zum zweiten kannst du eine IP-tables-Regel setzen, die alle Zugriffe aus dem LAN auf den Server unterbinden.


Zweitere Variante ist definitiv schneller und auf lange Sicht, bei Nachinstallation von Diensten, besser geeignet.

Du kannst natürlich auch beide Varianten einsetzen. :-)


MfG
Christian


Bewertung: 265 Punkte bei 68 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Antwort
Günter Frenz, Freitag, 26. Dezember 2008 23:46:26
Ein/Ausklappen

Weiterhin wäre noch zu bedenken, dass mit so einer Konstruktion die Möglichkeit besteht, eine hoffentlich vorhandene Firewall zwischen Internet und LAN zu umgehen. Bei einem erfolgreichen Angriff auf einen der Dienste des Servers besteht für den Angreifer freier Zugriff über die 2. NIC ins LAN. Ist die Bequemlichkeit dieses Risiko wert? Gibt es vielleicht schon Sicherheits-Richtlinien, die so etwas bereits untersagen?

nur so als Denkanstoss...

Günter


Bewertung: 217 Punkte bei 61 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

  • Meine Route
    Im Web gibt es viele Anleitungen, um auf Routern das vorinstallierte Linux-System anzupassen und zu erweitern. Es geht auch umgekehrt: Bauen Sie doch aus einem gewöhnlichen PC einen Router.
  • Getrennte Welten
    Per Chroot starten Sie ein weitgehend autonomes Gastsystem auf einem Rechner, ohne dabei die Hardware zu emulieren. Die Containerverwaltung LXC verfeinert diese Technik mit umfangreichen Zusatzfunktionen.
  • Raspberry Pi als Tor-Proxy nutzen
    Wer nicht nur die Kommunikation seines Browsers via Tor schützen möchte, sondern seinen gesamten Internet-Datenverkehr, der kommt um einen externen Proxy-Server nicht herum. Der Minirechner Raspberry Pi bietet eine kostengünstige Lösung dafür.
  • DHCP-Server fürs lokale Netzwerk
    Werden mehrere Rechner zu einem Netzwerk zusammengeschlossen, wächst der Konfigurationsaufwand. Besser man zentralisiert das Ganze so, dass ein DHCP-Server IP-Adressen und andere Werte an die Clients vergibt.
  • Linux im LAN
    Ob man einmal einen Rechner in ein Netzwerk einbindet oder dies wie bei einem Laptop – mal zu Hause, mal im Büro – öfter tut; die dahinter steckenden Mysterien bleiben dieselben.

Aktuelle Fragen

scannen mit LINUXMINT 18.0 - Brother DCP - 195 C
Christoph-J. Walter, 21.06.2017 08:47, 4 Antworten
Seit LM 18.0 kann ich nicht mehr direkt scannen. Obwohl ich die notwendigen Tools von der Brothe...
Anfänger Frage
Klaus Müller, 24.05.2017 14:25, 2 Antworten
Hallo erstmal. Habe von linux nicht so viel erfahrung müsste aber mal ne doofe frage stellen. A...
Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 4 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 7 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Soundconverter:_Qualitätsgrade
Rainer, 13.06.2017 20:04
Hallo Heiko, Am Tue, 13 Jun 2017 19:50:04 +0200 schrieb "Heiko Ißleib" : > > > >...
Re: [EasyLinux-Ubuntu] Soundconverter:_Qualitätsgrade
Heiko, 13.06.2017 19:50
Am Dienstag, 13. Juni 2017, 17:00:17 schrieb Rainer: Hallo Rainer, > > Am Tue, 13 Jun 2017 14:33:5...
Re: [EasyLinux-Ubuntu] Soundconverter:_Qualitätsgrade
Rainer, 13.06.2017 17:02
Hallo Frank, Am Mon, 12 Jun 2017 20:03:21 +0200 schrieb Frank von Thun : > Warum MP3 - ist doch immer...
Re: [EasyLinux-Ubuntu] Soundconverter:_Qualitätsgrade
Rainer, 13.06.2017 17:00
Hallo Heiko, Am Tue, 13 Jun 2017 14:33:50 +0200 schrieb "Heiko Ißleib" : > > > >...
Re: [EasyLinux-Ubuntu] Soundconverter:_Qualitätsgrade
Heiko, 13.06.2017 14:33
Am Montag, 12. Juni 2017, 18:45:17 schrieb Rainer: Hallo Rainer, > > bin eben zum ersten Mal darüb...