Debian Etch mit zwei "getrennten" Netzwerken

Markus Raffler - Sonntag, 21. Dezember 2008 21:41:54 - 2 Antworten

Hallo Gemeinde,

ich habe ein Problem mit der conf meines Servers (Debian Etch 4).
Der Server hat 2 NIC's, eine ist i.M. aktiv und für das "externe" (Webserver)
zuständig.
Nun möchte ich die 2. NIC in mein lokales Netz einbinden (schnellerer Zugriff
von Büro aus).
Zur Frage:
wie muss ich das einrichten damit ALLE services des Servers die "externe" NIC
benutzen, und NIC "intern" nur fürs LAN zusändig ist ?
Die Config die ich bisher habe (die Probleme u.a. mit Postfix macht):

#route:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
localnet * 255.255.255.240 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default port-87-193-155 0.0.0.0 UG 0 0 0 eth0

/etc/network/interfaces:
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 87.193.155.X
netmask 255.255.255.240
network 87.193.155.X
broadcast 87.193.155.X
gateway 87.193.155.X
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 213.148.129.10
dns-search xxx.de

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.200
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

danke für die Hilfe

Slacki

Antworten
Antwort
Christian F., Montag, 22. Dezember 2008 07:29:29
Ein/Ausklappen

Hi!

Es gibt mind 2 Möglichkeiten:

- zum ersten kannst du alle Dienste umkonfigurieren, dass sie nur eth0 verwenden. Dies ist aber relativ aufwändig und du könntest einen oder mehrere Dienste "vergessen" Deshalb müsstest du also vom LAN aus nachsehen, ob alle Ports geschlossen sind.

- zum zweiten kannst du eine IP-tables-Regel setzen, die alle Zugriffe aus dem LAN auf den Server unterbinden.


Zweitere Variante ist definitiv schneller und auf lange Sicht, bei Nachinstallation von Diensten, besser geeignet.

Du kannst natürlich auch beide Varianten einsetzen. :-)


MfG
Christian


Bewertung: 265 Punkte bei 70 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Antwort
Günter Frenz, Freitag, 26. Dezember 2008 23:46:26
Ein/Ausklappen

Weiterhin wäre noch zu bedenken, dass mit so einer Konstruktion die Möglichkeit besteht, eine hoffentlich vorhandene Firewall zwischen Internet und LAN zu umgehen. Bei einem erfolgreichen Angriff auf einen der Dienste des Servers besteht für den Angreifer freier Zugriff über die 2. NIC ins LAN. Ist die Bequemlichkeit dieses Risiko wert? Gibt es vielleicht schon Sicherheits-Richtlinien, die so etwas bereits untersagen?

nur so als Denkanstoss...

Günter


Bewertung: 222 Punkte bei 64 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

  • Meine Route
    Im Web gibt es viele Anleitungen, um auf Routern das vorinstallierte Linux-System anzupassen und zu erweitern. Es geht auch umgekehrt: Bauen Sie doch aus einem gewöhnlichen PC einen Router.
  • Getrennte Welten
    Per Chroot starten Sie ein weitgehend autonomes Gastsystem auf einem Rechner, ohne dabei die Hardware zu emulieren. Die Containerverwaltung LXC verfeinert diese Technik mit umfangreichen Zusatzfunktionen.
  • Raspberry Pi als Tor-Proxy nutzen
    Wer nicht nur die Kommunikation seines Browsers via Tor schützen möchte, sondern seinen gesamten Internet-Datenverkehr, der kommt um einen externen Proxy-Server nicht herum. Der Minirechner Raspberry Pi bietet eine kostengünstige Lösung dafür.
  • DHCP-Server fürs lokale Netzwerk
    Werden mehrere Rechner zu einem Netzwerk zusammengeschlossen, wächst der Konfigurationsaufwand. Besser man zentralisiert das Ganze so, dass ein DHCP-Server IP-Adressen und andere Werte an die Clients vergibt.
  • Linux im LAN
    Ob man einmal einen Rechner in ein Netzwerk einbindet oder dies wie bei einem Laptop – mal zu Hause, mal im Büro – öfter tut; die dahinter steckenden Mysterien bleiben dieselben.

Aktuelle Fragen

Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...
Tails verbindet nicht mit WLan
Georg Vogel, 30.07.2017 15:06, 5 Antworten
Hallo zusammen! Habe mir von Linux Mint aus einen Tails USB-Stick erstellt. Läuft soweit gut,...
Genivi for Raspberry Pi 3
Sebastian Ortmanns, 28.07.2017 10:37, 1 Antworten
I try to build a Genivi Development Platform for Rasberry Pi 3. But I always get the failures bel...
Bash awk Verständnis-Frage
Josef Federl, 22.07.2017 17:46, 2 Antworten
#!/bin/bash # Skriptdateiname = test.sh spaltennummer=10 wert=zehner awk '{ $'$spaltennummer'...
Bash - verschachtelte Variablenersetzung, das geht doch eleganter als meine Lösung?
Josef Federl, 18.07.2017 20:24, 3 Antworten
#!/bin/bash #Ziel des Skriptes wird sein die ID zu extrahieren hier nur als Consolentest: root@...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Internet Geschwindigkeit
Udo Teichmann, 19.08.2017 15:49
Am Samstag, den 05.08.2017, 18:20 +0200 schrieb Udo Teichmann: Liebe fleißige Helfer Vielen Dank für den Ti...
[EasyLinux-Ubuntu] Notebook wacht nicht mehr auf
Gerhard Blaschke, 19.08.2017 15:04
Hallo Liste, habe hier ein Notebook Acer Extensa 5630 mit Wheezy. Testweise habe ich es in den Ruhezustand...
Re: [EasyLinux-Ubuntu] bash Leerzeichen vor dem Curser
Uwe Herrmuth, 18.08.2017 08:52
Hallo Volker, Volker schrieb am 18.08.2017 um 07:33: > volker@volker-Aspire-E5-575:~$ echo $PWD &&am...
Re: [EasyLinux-Ubuntu] bash Leerzeichen vor dem Curser
Volker Borst, 18.08.2017 07:33
Hallo Uwe, Am 16.08.2017 um 21:56 schrieb Uwe Herrmuth: > > Dann hab ich eine ganz gewagte Vermutu...
Re: [EasyLinux-Ubuntu] bash Leerzeichen vor dem Curser
Uwe Herrmuth, 16.08.2017 21:56
Hallo Volker, Volker Borst schrieb am 16.08.2017 um 19:22: > > echo $PS1 > > ${debian_chr...