Debian Etch mit zwei "getrennten" Netzwerken

Autor

Sonntag, 21. Dezember 2008 21:41:54

Hallo Gemeinde,

ich habe ein Problem mit der conf meines Servers (Debian Etch 4).
Der Server hat 2 NIC's, eine ist i.M. aktiv und für das "externe" (Webserver)
zuständig.
Nun möchte ich die 2. NIC in mein lokales Netz einbinden (schnellerer Zugriff
von Büro aus).
Zur Frage:
wie muss ich das einrichten damit ALLE services des Servers die "externe" NIC
benutzen, und NIC "intern" nur fürs LAN zusändig ist ?
Die Config die ich bisher habe (die Probleme u.a. mit Postfix macht):

#route:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
localnet * 255.255.255.240 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default port-87-193-155 0.0.0.0 UG 0 0 0 eth0

/etc/network/interfaces:
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 87.193.155.X
netmask 255.255.255.240
network 87.193.155.X
broadcast 87.193.155.X
gateway 87.193.155.X
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 213.148.129.10
dns-search xxx.de

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.200
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

danke für die Hilfe

Slacki

Markus Raffler

2 Antworten


Antworten
Antwort
Christian F., Montag, 22. Dezember 2008 07:29:29
Ein/Ausklappen

Hi!

Es gibt mind 2 Möglichkeiten:

- zum ersten kannst du alle Dienste umkonfigurieren, dass sie nur eth0 verwenden. Dies ist aber relativ aufwändig und du könntest einen oder mehrere Dienste "vergessen" Deshalb müsstest du also vom LAN aus nachsehen, ob alle Ports geschlossen sind.

- zum zweiten kannst du eine IP-tables-Regel setzen, die alle Zugriffe aus dem LAN auf den Server unterbinden.


Zweitere Variante ist definitiv schneller und auf lange Sicht, bei Nachinstallation von Diensten, besser geeignet.

Du kannst natürlich auch beide Varianten einsetzen. :-)


MfG
Christian


Bewertung: 242 Punkte bei 47 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Antwort
Günter Frenz, Freitag, 26. Dezember 2008 23:46:26
Ein/Ausklappen

Weiterhin wäre noch zu bedenken, dass mit so einer Konstruktion die Möglichkeit besteht, eine hoffentlich vorhandene Firewall zwischen Internet und LAN zu umgehen. Bei einem erfolgreichen Angriff auf einen der Dienste des Servers besteht für den Angreifer freier Zugriff über die 2. NIC ins LAN. Ist die Bequemlichkeit dieses Risiko wert? Gibt es vielleicht schon Sicherheits-Richtlinien, die so etwas bereits untersagen?

nur so als Denkanstoss...

Günter


Bewertung: 170 Punkte bei 39 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Related content

  • Meine Route
    Im Web gibt es viele Anleitungen, um auf Routern das vorinstallierte Linux-System anzupassen und zu erweitern. Es geht auch umgekehrt: Bauen Sie doch aus einem gewöhnlichen PC einen Router.
  • Raspberry Pi als Tor-Proxy nutzen
    Wer nicht nur die Kommunikation seines Browsers via Tor schützen möchte, sondern seinen gesamten Internet-Datenverkehr, der kommt um einen externen Proxy-Server nicht herum. Der Minirechner Raspberry Pi bietet eine kostengünstige Lösung dafür.
  • DHCP-Server fürs lokale Netzwerk
    Werden mehrere Rechner zu einem Netzwerk zusammengeschlossen, wächst der Konfigurationsaufwand. Besser man zentralisiert das Ganze so, dass ein DHCP-Server IP-Adressen und andere Werte an die Clients vergibt.
  • Linux im LAN
    Ob man einmal einen Rechner in ein Netzwerk einbindet oder dies wie bei einem Laptop – mal zu Hause, mal im Büro – öfter tut; die dahinter steckenden Mysterien bleiben dieselben.
  • Raspberry Pi zum Wireless-Printserver aufrüsten
    Der Raspberry Pi ist so günstig, klein und sparsam, dass er sich auch als WLAN-Printserver für das Recycling eines eigentlich ausgedienten Multifunktionsdruckers eignet – ganz im Sinn der "Green IT".

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 0 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Mint 15 Upgrade
"H.-Stefan Neumeyer", 23.07.2014 17:37
Am Mittwoch, 23. Juli 2014, 16:48:06 schrieb Heiko Ißleib: Hallo Heiko > > Ich hätte mir definitiv...
Re: [EasyLinux-Ubuntu] Mint 15 Upgrade
Heiko, 23.07.2014 16:48
Am Mittwoch, 23. Juli 2014, 16:05:17 schrieb H.-Stefan Neumeyer: Hallo Stefan. > > Da hatte ich j...
Re: [EasyLinux-Ubuntu] Mint 15 Upgrade
"H.-Stefan Neumeyer", 23.07.2014 16:05
Am Mittwoch, 23. Juli 2014, 15:13:10 schrieb Heiko Ißleib: Hallo Heiko > > Da hatte ich ja Glück,d...
Re: [EasyLinux-Ubuntu] Mint 15 Upgrade
Heiko, 23.07.2014 15:13
Am Mittwoch, 23. Juli 2014, 09:41:36 schrieb H.-Stefan Neumeyer: Hallo Stefan. > > Ich kann da nu...
Re: [EasyLinux-Ubuntu] Mint 15 Upgrade
Heiko, 23.07.2014 14:39
Am Mittwoch, 23. Juli 2014, 13:20:48 schrieb Richard Kraut: Hallo Richard. > Am Mittwoch, den 23.07.2014...