Debian Etch mit zwei "getrennten" Netzwerken

Autor

Sonntag, 21. Dezember 2008 21:41:54

Hallo Gemeinde,

ich habe ein Problem mit der conf meines Servers (Debian Etch 4).
Der Server hat 2 NIC's, eine ist i.M. aktiv und für das "externe" (Webserver)
zuständig.
Nun möchte ich die 2. NIC in mein lokales Netz einbinden (schnellerer Zugriff
von Büro aus).
Zur Frage:
wie muss ich das einrichten damit ALLE services des Servers die "externe" NIC
benutzen, und NIC "intern" nur fürs LAN zusändig ist ?
Die Config die ich bisher habe (die Probleme u.a. mit Postfix macht):

#route:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
localnet * 255.255.255.240 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default port-87-193-155 0.0.0.0 UG 0 0 0 eth0

/etc/network/interfaces:
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 87.193.155.X
netmask 255.255.255.240
network 87.193.155.X
broadcast 87.193.155.X
gateway 87.193.155.X
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 213.148.129.10
dns-search xxx.de

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.200
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

danke für die Hilfe

Slacki

Markus Raffler

2 Antworten


Antworten
Antwort
Christian F., Montag, 22. Dezember 2008 07:29:29
Ein/Ausklappen

Hi!

Es gibt mind 2 Möglichkeiten:

- zum ersten kannst du alle Dienste umkonfigurieren, dass sie nur eth0 verwenden. Dies ist aber relativ aufwändig und du könntest einen oder mehrere Dienste "vergessen" Deshalb müsstest du also vom LAN aus nachsehen, ob alle Ports geschlossen sind.

- zum zweiten kannst du eine IP-tables-Regel setzen, die alle Zugriffe aus dem LAN auf den Server unterbinden.


Zweitere Variante ist definitiv schneller und auf lange Sicht, bei Nachinstallation von Diensten, besser geeignet.

Du kannst natürlich auch beide Varianten einsetzen. :-)


MfG
Christian


Bewertung: 231 Punkte bei 50 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Antwort
Günter Frenz, Freitag, 26. Dezember 2008 23:46:26
Ein/Ausklappen

Weiterhin wäre noch zu bedenken, dass mit so einer Konstruktion die Möglichkeit besteht, eine hoffentlich vorhandene Firewall zwischen Internet und LAN zu umgehen. Bei einem erfolgreichen Angriff auf einen der Dienste des Servers besteht für den Angreifer freier Zugriff über die 2. NIC ins LAN. Ist die Bequemlichkeit dieses Risiko wert? Gibt es vielleicht schon Sicherheits-Richtlinien, die so etwas bereits untersagen?

nur so als Denkanstoss...

Günter


Bewertung: 161 Punkte bei 42 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

  • Meine Route
    Im Web gibt es viele Anleitungen, um auf Routern das vorinstallierte Linux-System anzupassen und zu erweitern. Es geht auch umgekehrt: Bauen Sie doch aus einem gewöhnlichen PC einen Router.
  • Raspberry Pi als Tor-Proxy nutzen
    Wer nicht nur die Kommunikation seines Browsers via Tor schützen möchte, sondern seinen gesamten Internet-Datenverkehr, der kommt um einen externen Proxy-Server nicht herum. Der Minirechner Raspberry Pi bietet eine kostengünstige Lösung dafür.
  • DHCP-Server fürs lokale Netzwerk
    Werden mehrere Rechner zu einem Netzwerk zusammengeschlossen, wächst der Konfigurationsaufwand. Besser man zentralisiert das Ganze so, dass ein DHCP-Server IP-Adressen und andere Werte an die Clients vergibt.
  • Linux im LAN
    Ob man einmal einen Rechner in ein Netzwerk einbindet oder dies wie bei einem Laptop – mal zu Hause, mal im Büro – öfter tut; die dahinter steckenden Mysterien bleiben dieselben.
  • Raspberry Pi zum Wireless-Printserver aufrüsten
    Der Raspberry Pi ist so günstig, klein und sparsam, dass er sich auch als WLAN-Printserver für das Recycling eines eigentlich ausgedienten Multifunktionsdruckers eignet – ganz im Sinn der "Green IT".

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 2 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Neue SuSE-Literatur
Roland Welcker, 14.01.2015 14:10, 1 Antworten
Verehrte Linux-Freunde, seit Hans-Georg Essers Buch "LINUX" und Stefanie Teufels "Jetzt lerne ich...
DVD abspielen unter openSUSE 13.1
Michael Pfaffe, 12.01.2015 11:48, 6 Antworten
Hallo Linuxer, Bisher habe ich meine DVD´s mit linDVD unter openSUSE abgespielt. Mit der Versi...
Kontrollleiste SuSE 12.3 gestalten
Roland Welcker, 31.12.2014 14:06, 1 Antworten
Wie bekomme ich das Icon eines beliebigen Programms (aktuell DUDEN) in die Kontrollleiste und kan...
flash-player
roland reiner, 27.12.2014 15:24, 7 Antworten
Mein Flashplayer funktioniert nicht mehr-Plug in wird nicht mehr unterstütz,auch über google chro...
PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 10 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Trinity was:KMail2 / fetchmail
Heinz-Stefan Neumeyer, 28.01.2015 12:25
Am Mittwoch, den 28.01.2015, 12:08 +0100 schrieb Gerhard Blaschke: Hallo Gerhard doch noch eine Anmerkung...
Re: [EasyLinux-Ubuntu] Trinity was:KMail2 / fetchmail
Gerhard Blaschke, 28.01.2015 12:08
Am 28.01.2015 um 12:04 schrieb Heinz-Stefan Neumeyer: > Am Mittwoch, den 28.01.2015, 11:46 +0100 schrieb G...
Re: [EasyLinux-Ubuntu] Trinity was:KMail2 / fetchmail
Heinz-Stefan Neumeyer, 28.01.2015 12:04
Am Mittwoch, den 28.01.2015, 11:46 +0100 schrieb Gerhard Blaschke: Hallo Gerhard > > Alles gut und...
Re: [EasyLinux-Ubuntu] FAT32_Stick_ist_plötzlich_____nur_noch_lesbar.
Heinz-Stefan Neumeyer, 28.01.2015 11:49
Am Mittwoch, den 28.01.2015, 08:32 +0100 schrieb Uwe Herrmuth: Hallo Uwe > > Fragezeichen in den A...
Re: [EasyLinux-Ubuntu] Trinity was:KMail2 / fetchmail
Gerhard Blaschke, 28.01.2015 11:46
Am 28.01.2015 um 11:22 schrieb Heinz-Stefan Neumeyer: > Am Mittwoch, den 28.01.2015, 07:41 +0100 schrieb G...