Mała sieć domowa w oparciu o system Linux
Dzisiaj zajmiemy się tworzeniem małej, dość dobrze zabezpieczonej sieci domowej. Udostępnianie internetu zrealizujemy poprzez komputer-host z zainstalowanym systemem Linux (dowolnym, może być Ubuntu, Debian, Mandriva i inne). Pamiętajcie jednak, że Wasze środowisko może różnić się od środowiska zaprezentowanego w artykule – analizujcie treść a nie tylko przeklejajcie komendy do konsoli! Lecimy!
Załóżmy środowisko:
Dla ułatwienia ustalmy hostname dla komputerów:
- komp1) orion nasz router
- komp2) scorpio podłączony przez interfejs eth1
- komp3) omega podłączony przez interfejs eth2
- komp4) syrius podłączony przez interfejs eth3
Oczywiście w sieci może być więcej komputerów – wystarczy do routera wsadzić większą ilość kart sieciowych. W przykładzie wykorzystałem 3 komputery z zainstalowanym systemem Debian GNU/Linux, nic jednak nie stoi na przeszkodzie aby był to jakikolwiek inny system operacyjny.
Dokładny opis naszej przykładowej sieci domowej:
Komputer1 (orion) ma 4 karty sieciowe na złączu PCI:
[22:00:05] night@orion:~$ lspci | grep -i ether 02:05.0 Ethernet controller: 3Com Corporation 3c940 10/100/1000Base-T [Marvell] (rev 12) 02:0b.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) 02:0c.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8029(AS) 02:0d.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
W kolejności są to interfejsy od eth0 do eth3, przy czym interfejs eth0 (gigabitowa karta 3com) jest wpięta do sieci internet dostając adres z klasy prywatnej 192.168.0.10.
<22:02:26> root@orion:/home/night# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0E:2E:90:A7:37
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20e:2eff:fe90:a737/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2274170 errors:0 dropped:0 overruns:0 frame:0
TX packets:2224882 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2140325129 (1.9 GiB) TX bytes:1161463487 (1.0 GiB)
Interrupt:21 Base address:0xd400
Konfiguracja kart sieciowych
Zaczynamy od konfiguracji pozostałych kart sieciowych. W tym celu wyedytujemy plik /etc/network/interfaces w poniższy sposób:
(...) auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address 10.0.0.1 netmask 255.255.255.0 auto eth2 iface eth2 inet static address 10.0.1.1 netmask 255.255.255.0 auto eth3 iface eth3 inet static address 10.0.2.1 netmask 255.255.255.0 (...)
I restart sieci:
# /etc/init.d/networking restart
To tyle w kwestii kart sieciowych. Teraz DHCP!
Konfiguracja serwera DHCP
Na początek szybka instalacja:
# apt-get install dhcp3-server
... i konfiguracja:
# rm /etc/dhcp3/dhcpd.conf; nano -w /etc/dhcp3/dhcpd.conf
W pliczku (który będzie pusty) wpisujemy dla każdej podsieci:
subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.3 10.0.0.254;
default-lease-time 6100;
option domain-name „nasza.domena”;
option domain-name-servers pierwszy.dns, drugi.dns;
option routers 10.0.0.1;
option subnet-mask 255.255.255.0;
option broadcast-address 10.0.0.255;
host scorpio { # komputer nr 1
hardware ethernet adres.mac;
fixed-address 10.0.0.2;
}
}
Oczywiście zmieniamy domenę, dns’y na własne a adres.mac wypełniamy adresem MAC komputera nr 1 (scorpio). Pozwoli nam to przypisywać jeden i zawsze ten sam adres IP dla tej maszyny. Dla reszty podsieci deklarujemy podobnie:
subnet 10.0.1.0 netmask 255.255.255.0 {
range 10.0.1.3 10.0.1.254;
default-lease-time 6100;
option domain-name „nasza.domena”;
option domain-name-servers dns,pierwszy, dns.drugi;
option routers 10.0.1.1;
option subnet-mask 255.255.255.0;
option broadcast-address 10.0.1.255;
host scorpio {
hardware ethernet adres.mac;
fixed-address 10.0.1.2;
}
}
Analogicznie dla podsieci trzeciej zmiejając odpowiednio ustawienia IP w konfiguracji. Drobna zmiana w skrypcie startowym:
# nano -w /etc/default/dhcp3-server
gdzie definiujemy interfejsy na których działać ma serwer DHCP
INTERFACES="eth1 eth2 eth3"
... i restart demona
/etc/init.d/dhcp3-server restart
W tym momencie możemy sprawdzić, czy nasze stacje robocze otrzymały adres sieciowy (należy odświeżyć ustawienia IP na każdym z nich). Jeśli wszystko zrobiliśmy dobrze powinniśmy móc pingować każdy z naszych komputerów. Pozostało nam udostępnienie dla nich internetu.
Udostępnianie sieci
W tym celu stworzymy dodatkowy skrypt startowy:
# nano -w /etc/init.d/firewall
Do którego to wpiszemy następujące regułki iptables:
#linijka potrzebna do włączenia udostępniania internetu echo 1 > /proc/sys/net/ipv4/ip_forward #wyczyszczenie starych reguł z pamięci iptables iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie domyślnej polityki (o tym później) iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT # Najważniejsze - udostępnienie sieci dla wybranych podsieci iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.2.0/24 -j MASQUERADE
Plik zapisujemy, nadajemy mu prawa wykonywalności:
# chmod +x /etc/init.d/firewall
dopisujemy do standardowych runleveli:
# update-rc.d firewall defaults 90
i odpalamy:
# /etc/init.d/firewall
W tym momencie mamy działający internet na wszystkich 3 komputerach. Voila! Trzy ostatnie linijki w skrypcie powinny stworzyć nam odpowiednią tablicę routingu:
# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 10.0.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
Dzięki tym wpisom komputery w sieci domowej będą „widzieć się wzajemnie”. Możemy to sprawdzić pingując hosta scorpio z hosta omega, lub na odwrót. No i najważniejsze – możemy korzystać z internetu na wszystkich końcówkach podpiętych do sieci domowej :-).
Powiedzmy jednak, że to nas nie satysfakcjonuje. Chcemy mieć możliwość logowania się poprzez ssh do każdego z komputerów w sieci domowej. Musimy zatem zająć się forwardowaniem portów.
Przekierowanie portów
Aby przekierować wybrany port z hosta A na nasz router musimy na końcu naszego skryptu firewall dopisać:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 800 -j DNAT --to 10.0.0.2:22
Co to robi? Forwarduje każde zapytanie przychodzące na port 800 karty sieciowej eth0 na adres 10.0.0.2, port 22 w sieci lokalnej. Zatem, jeśli odpytamy nasz router z sieci zewnętrznej w ten sposób:
$ ssh <user>@<host> -p 800
Dostaniemy de facto połączenie z komputerem z adresem 10.0.0.2 w sieci lokalnej. W naszym przykładzie będzie to scorpio. Dodajmy resztę hostów:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 800 -j DNAT --to 10.0.0.2:22 iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 801 -j DNAT --to 10.0.1.2:22 iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 802 -j DNAT --to 10.0.1.2:22
I w ten sposób mamy możliwość zalogowania się na każdy z naszych komputerów w sieci domowej z zewnątrz.
Jutro opiszę sposób zabezpieczenia naszego routera przed najpopularniejszymi atakami z zewnątrz w przypadku gdy posiadamy publiczny adres IP. Enjoy!
W artykule mogły pojawić się błędy i nieścisłości. Będzie on zaktualizowany w przypadku wykryciu takowych.
Trzy karty sieciowe? Po jaką cholerę? Jedna sieciówka i switch (switche, przy większej ilosci klientów) w zupełności wystarczą! Potem tylko przypisywanie adresów względem MACów i masz to samo
Switch kosztuje - skoro mamy nieużywany komputer w szafie to może on robić to samo a nawet lepiej.
i cztery nieużywane sieciówki? :>
Heheh ;-) No u mnie w domu to normalka szczerze powiedziawszy :) Jeszcze kilka się wala nieużywanych... Chociaż oczywiście kto z normalnych ludzi ma 3 kompy w domu które potrzebują netu? :) Dla jednego kompa też to będzie działać a wtedy switch nie jest potrzebny. HowTo dla 3 kompów można łatwo przerobić na HowTo dla 1 kompa, w drugą stronę nie jest to tak oczywiste (dla początkującego usera).
ostatnio coś bardzo podobnego zrobiłem u siebie na Arch Linuksie, co masz na myśli przez zabezpieczenie? deny.hosts, jakieś filtrowanie iptables?
Bardzo fajny artykuł, opisuje wszystko krok po kroku.
Ale skoro masz stały ip "na świat" to czemu MASQUERADE a nie SNAT? I faktycznie 3 nieużywane sieciówki ;) 8pSwitche chodzą na a. po 40z
Ja mam stały - w przykładzie jest wykorzystany adres z puli prywatnej. Duża większość providerów jeszcze przydziela prywaty niestety. SNAT opiszę w następnym artykule o zabezpieczeniach :-)
A co w nim będzie: deny.hosts jak najbardziej, do tego skrypty automatyzujące (np fail2ban), reguły iptables i inne sposoby zabezpieczenia naszego routerka.
Wolałbym to już na WiFi oprzeć. Albo na switchu. Na prawdę… ;) Ciągać trzy kable po domu… Tylko dla Internetu…
Kable przynajmniej są niezawodne. WiFi nieraz już mnie bardzo mocno zawiodło. Jak się ma listwy przypodłogowe to ciąganie kabli takie straszne nie jest. Poza tym ja mam 3 kompy w jednym pokoju ;-) kaloryfera przynajmniej nie potrzebuję ;D
to ja burzuj jestem, bo mam router za 200 zl z wbudowanym firewallem, dhcp, filtrowaniem po makach itp ;)
A który ruter tego nie ma? ;)
Ja nawet z WiFi mam. ;P
Router też mam, jednak moja mania kontrolowania sieci w domu jest zbyt duża. tcpdump + snort na takim kompie to podstawa mojej egzystencji. hehe ;p
Poza tym wystarczy spojrzeć na fora dowolnej dystrybucji linuksa aby zauważyć masę postów pod tytułem "udostępnianie internetu", "forwarding portów". czyli ludzie jednak to robią i mają problemy z tym. Dlatego też warto coś takiego opisać.
>Chociaż oczywiście kto z normalnych ludzi ma 3 kompy w domu które potrzebują netu? :)
Hyyy ja :) Ale sieć domową mam rozwiązaną a pomocą routera (1 najbliższy komputer podłączony kablem, 2 na wifi.
Fuj coś mi klawiatura przycina ^_^
Ja polecal bym zamiast dhcp3-server uzyc dnsmask jak dla mnie to takich sieci genialny program ;) i co najwazniejsze latwiejszy w konfiguracji
dhcp3-server jest w repozytoriach Debiana//Ubuntu w standardzie, a konfiguracja nie należy do najtrudniejszych. Poza tym łatwość zarządzania - mogę wpiąć dowolny komp i od razu załapie IP'ka, przyporzadkuje DNSy i zajmie się tablicą routingu. Dla mnie to wygodniejsze rozwiązanie, ale jak zwykle - co kto lubi!
dnsmasq też jest w Debianie w standardzie, konfiguracja jest równie prosta (w zasadzie wszystko okomentowane w konfigu - wystarczy odhaszować), a ponadto dla małej sieci pięknie załatwia temat proxy dns, dzięki czemu wzrasta szybkość odpowiedzi na zapytania i odporność na problemy z serwerami DNS providera. I parę innych fajnych rzeczy też ma.
W takim razie przetestuję jak wrócę z pracy do domu na spokojnie, teraz wolę nie robić tego zdalnie bo jak mi wszystko padnie to razem z ftp'em i co ja będę zrobię? :P
Tak czy siak u mnie stoi bind9, więc nie mam problemu z DNSami, do tego mały squid dla obrazków i nie ma na co narzekać. Ale i tak się zaznajomię.
Przede wszystkim do małych sieci tego typy jest przeznaczona klasa C adresów prywatnych - czyli 192.168.0.0/24
Sorry panowie, ale w dzisiejszych czasach montowanie czegoś takiego to idiotyzm. Nie wiem, kto ma 4 karty sieciowe w domu (pomysł rezygnacji ze switcha w ogóle pominę), i kto jeszcze ciąga po domu kilometry kabli.
Nie wiem gdzie był kolega przez ostatnie parę lat, ale rutery wifi kosztują teraz 200pln. A linuksy potrafią już z wifi korzystać... więc po cholerę się tak męczyć?
@better - nie no jasne. Każdy stawia sieć jak woli. Mi wystarczy że stawiam sieci wifi w mojej firmie. W domu tego nie zrobię.
Raz jeszcze powtórzę - przeglądając internetowy światek linuksowy co rusz napotykam na pytania "jak skonfigurować udostępnianie sieci". Więc jak widać ludzie jeszcze to robią. W tym i ja.
i ja, jak poskładałem domowy złom to mi wyszedł całkiem niezły komputerek, kart też w pit i tak powstało kablowe rozdwojenie na 2 komputery
Dokładnie, mi też po domu walają się stare karty sieciowe (w tym jedna karta wifi - po niej też mogę udostępnić net w taki sam sposób!), stare części komputerowe itp. Więc czemu za całkowitą darmochę nie złożyć sobie routera? Jak ktoś ma pieniądze i brak czasu to może iść do sklepu i kupić 'router wifi'.
Skoro masz trzy karty sieciowe do połączenia lokalnych komputerów, to dużo lepiej zrobić BRIDGE (mostek) br0 łączący te trzy interface'y i użyć w nich tej samej klasy adresowej...
A tak, poszczególne komputery (w przypadku np. samby) nie za bardzo będą się widzieć...
Można, a nawet wskazane byłoby zrobić bridge, jednak nie wiem czemu piszesz, że komputery nie będą się wzajemnie widzieć.. Odpowiednia tablica routingu i wszystko działa. SOA#1
O bridgeach napiszę później.
Tylko jeszcze ile prądu zjada mały router sprzętowy a ile taki składak...
Trochę to faktycznie sztuka dla sztuki.
Prądu zżera mało, łatwo to przeliczyć. Rzekłbym - bardzo mało. Przy stawce 0,30gr za kilowatogodzinę koszty są znikome (przy odpowiednim hardware). A router sprzętowy nigdy nie da mi tego, co daje mi stacja robocza.
To jest zbędne:
# ustawienie domyślnej polityki (o tym później)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
bo tak jest defaultowo. I nie potrzebujesz do tego żadnych ACCEPT-ów typu:
iptables -A INPUT -i lo -j ACCEPT
skoro domyślnie zezwalasz na wszystko.
A to:
iptables -A FORWARD -o lo -j ACCEPT
jest bez sensu, nie forwardujesz pakietów przez lo (a przynajmniej nie powinieneś ;))
Dobrą praktyką jest zacząć od DENY dla INPUT/FORWARD w 'default policy' i zezwolenie na nieograniczony INPUT/FORWARD tylko dla Twojego LAN-u. Z zewnątrz dopuszczasz INPUT i FORWARD (FORWARD dla przekierowań, bo przez PREROUTING przechodzi tylko pierwszy pakiet) _tylko_ dla konkretnych usług. Dopiero przy takiej konfiguracji Twój "firewall" zacznie pełnić swoją rolę.
Pozdrawiam
Trafne spostrzeżenie dot. defaultowej polityki, jednak specjalnie wstawiłem tą część do tego skryptu, aby jutro pisząc o polityce DROP móc się odwołać do przykładu. Trzeba zwrócić uwagę, że ten artykuł kierowany jest dla niedoświadczonych użytkowników systemu Linux i powinien jak najbardziej obrazowo przedstawić problem.
iptables -A FORWARD -o lo -j ACCEPT
Rzeczywiście jest bez sensu :-)
Zgadzam się z ostatnim akapitem w 100%, jednak zagadnieniem "first DROP, then ALLOW" i podobnymi praktykami zajmę się jutro. Opisanie tego w jednym artykule byłoby przesadą. Ja wiem jak się takie coś stawia, Ty także. Nowy użytkownik Linuksa potrzebuje stopniowania wiedzy. Jak napisałem - bezpieczeństwo będzie jutro ;-) Tak czy siak obecnie postawiony NAT całkiem nieźle chroni sieć wewnętrzną.
Co do wifi - niekoniecznie. Jeśli ktoś udostępnia net laptopom, to oczywiście wifi jak najbardziej ma sens, ale w domu wolałem 'kilometry kabli' (akurat bez problemu mogłem położyć) i kupno switcha, niż kupno 3 kart wifi i routera. I szybsze jest... A mały router fajny, bardzo fajny, zwł. z linuksem, tylko nie ma dysku. ;-/
@better way
Owszem, jeżeli chodzi o samo udostępnienie Internetu to rozsądniejszym rozwiązaniem jest router, ewentualnie, przy stacji roboczej switch zamiast tylu kart sieciowych. Ale w moim przypadku rozwiązanie i howto podane przez Pana Sebastiana jest świetne, ponieważ posiadam sieć gigabitową, co za tym idzie taniej jest stworzyć taką prostą sieć złożoną z kilku kart gigabitowych niż zastosowanie gigabitowego switcha, który kosztuje majątek i z racji skomplikowania jest z reguły przeznaczony do innych zastosowań (duże sieci firmowe). U mnie zastosowanie kart gigabitowych uzasadnienione korzystaniem z zasobów serwera w protokole SMB zamiast lokalnego dysku (na lokalnym jest tylko system), czyli klient jest czymś a'la terminal z tą różnicą, że system jest zainstalowany lokalnie, ale dokumenty są na serwerze.
Więc dziękuję autorowi za opis takiego nietypowego rozwiązania.
Pozdrawiam.
@wdzięczny - w przypadku sieci gigabitowej (o czym nie wspomniałem w artykule za bardzo) takie rozwiązanie jest najtańszym (znacznie tańszym!) sposobem połączenia komputerów w bardzo szybką i wydają sieć LAN. Czy to aż takie "nietypowe'? Powiedziałbym - stara szkoła. Tak się robiło kiedyś. :-)
Cieszę się zawsze, gdy moje artykuły pomagają komuś w rozwiązaniu ich problemów. Tym bardziej cieszę się z pozytywnych komentarzy, więc i ja dziękuję :-) A za krótki czas - sposób zabezpieczenia takiej sieci.
Pozdrawiam
Mile widziane HowTo podziału pasma. Co by jeden komputer całych zasobów sieciowych nie pochłaniał; a bywa to uciążliwe jak się z innymi użytkuje siec domową.
Postaram się co nieco napisać na ten temat. Krótko mówiąc – htb, niceshaper albo z user space trickle. Najpierw jednak muszę dokończyć art o bezpieczeństwie.
byłooo ;) a tak serio, nigdy dość takich opisów, przynajmniej mniej lamentowania na forach :) no i napisane treściwie (a część o forwardingu nie zawsze w takim opisie jest zawarta). NICE JOB!
Do oriona dołożyłbym ruter bezprzewodowy i już nie trzeba ciągnąć kabli ;) Sieciówki bezprzewodowe są wbudowane w dzisiejsze lapki, a do pecetów można użyć dongli USB (wziętych np. z zestawu Liveboksa, od znajomych, którzy ich nie potrzebują :).
W sumie za parę dni czeka mnie podobna konfiguracja :-] Tylko czy rzeczywiście nie lepiej kupić ruter sprzętowy za 150-200 zł?
Jeśli ktoś nie potrzebuje pełnej kontroli nad całym procesem routingu, nie jest maniakiem sieci oraz ma nadmiar gotówki – może spróbować. Router z PC’ta ma jakby „inne zastosowania”. Postawisz na nim squida, własnego bind9, dołożysz apache, zapuścisz snort+tcpdump… Router sprzętowy jest dla osoby, która nie potrzebuje tego wszystkiego. A taki PCet dużo uczy o sieiach i sprawia troszkę frajdy ;-)
Dlatego prawdopodobnie u mnie będzie to stary PieCyk z ruterem wifi na PCI :D
Btw. znacie może coś takiego: http://sklep.benchmark.pl/pelny_20395.html ?
Niebieskie, oczoj**ne światełko!!111oneone :P
Wydaje się w porządku. Pytanie tylko jak z zasięgiem, mocą, nagrzewaniem się, stabilnością pracy, poborem mocy itp. No i czy draństwo pracuje dobrze na linuksie :]
Bardzo fajnie to wszystko opisane – choć niektórym i tak pewnie braknie magicznego przycisku ‘współdziel łącze internetowe’ (czy jak się to w wiadomym systemie nazywa).
I faktycznie, policy najlepiej ustawić na DENY i kontrolować, co może przejść. Można ten firewall oczywiście fajniej rozbudować, ale to temat na osobną doktoryzację :)
ja mam zupełnie inne pytanie, skoro w każdej z wydzielonych podsieci masz 2 kompy (10.0.1.x, 10.0.0.x, 10.0.2.x), to dlaczego nie maski 30 bitowe? i podsieci np 10.0.0.0, 10.0.0.4, 10.0.0.8 ? a jeszcze lepiej jak już ktoś wspomniał, przeznaczoną do tego 192.168.
Czuje sie troche zniesmaczony komentarzami (a przynajmniej czescia). Czlowiek cos napisze, co sie moze komus przydac i zawsze znajdzie sie ktos komu cos nie pasuje.
To chyba jakis objaw wlasnych kompleksow…
Ludzie przestancie krytykowac innych. Sami cos stworzcie.
Pozdrawiam :)
DZIĘKI!!!! Zaraz zabiorę się za udostępnianie sieci :D!
Jak zadziała to dam komenta =)
I dzięki wielkie że chciało ci się to robić :)
Mam do kolegów malutkie pytanie. Czyli na wyjściu karty sieciowej komputera który łączy się z internetem zobaczymy ramki o adresie MAC tylko jednej karty sieciowej tej która komunikuje się z internetem czy tak? :)
@Entuzjasta – nie. Ramki są przesyłane w normalny sposób. Wszystko dzieje się po tablicy routingu, więc żadne MACi nie są zastępowane. Nawet jakby były to TTL od razu spada o jeden. Administratora sieci nie oszukasz, jeśli chcesz dzielić łącze to zawsze jest n+1 sposobów na ich wykrycie na „n” sposobów ich implementacji ;-)
Dzięki za odpowiedz.. Cóż to chyba kwestia oprogramowania.. a raczej jego braku :)
„Nawet jakby były to TTL od razu spada o jeden.”
A takie coś nie załatwia sprawy:
iptables -t mangle -A OUTPUT -o eth0 -j TTL —ttl-set 64
?
Chciałbym bardzo podziękować za artykuł. Można powiedzieć, że w mojej firmie, która m. innymi serwisuje wiele firm nadal używających (tudzież trzymających w szafie) sprzętu klasy p90 - 200, a nie chcących "jakichkolwiek dodatkowych wydatków" Pański artykuł stał się swoistą biblią-poradnikiem "jak zrobić to szybko, zaszokować "że tak można?" i iść do domu"... dziękujemy :)
Wielkie dzięki za ten opis.
Właśnie skopał mi się router linksysa i stwierdziłem że koniec z tym badziewiem (zwłaszcza że muszę zacząć się bawić w priorytetowość portów (czy jak się to nazywa)).
Przy okazji będę stawiał sobie ftp. wiec trafienie na ten opis jest jak dla mnie rozwiązaniem problemów (zanim nie zgłębię dokładniej tematu).
I nie chodzi tu o koszty jak niektórzy piszą.
Stawiam to na sprzęcie za 1.200,- zł bo chce mieć kontrolę nad tym co się dzieje i się czegoś nauczyć.
Zabawa routerami z wi-fi a tym rozwiązaniem jest dla mnie jak porównanie windowsa i linuxa. Nie śmieje się z nikogo sam zacząłem urzywać linuxa 2 miesiące temu na notebooku a na stacjonarce w domu jest Windows więc powiedział bym że w temacie linuxa nie jestem jeszcze nawet zielony tylko całkowita noga.
Pozdrawiam i oby tak dalej.
Pożyteczny opis budowania. Brakuje mi nieco opisu wprowadzanych instrukcji (co dokladnie robi)
czytałem uważnie artykuł i nie rozumiem czemu użyłeś port 800 ???
i 22 .
Standardowy port internetowy to 80 ???
za wyjaśnienie byłbym bardzo wdzięczny
Fox5 bo to nie chodzi o port uslug web tylko o ssh, a przekierowanie stad, zeby mozna zarzadzac kazdym hostem.
Mnie ciekawi inna sprawa, wykonalem to zgodnie z zaleceniami, dhcp przyznaje adresy. Tablica routingu wyglada na wlasciwa. Z hosta podlaczone do routera osiagam oba interfejsy, jednak wyjscia na swiat nie mam. Z routera osiagam zewnetrzne sieci.
Moze jakas podpowiedz? ;-)
Rozwiazalem sprawe, zrobilem blad w iptables ;-0
mam pytanie za 100 punktów. powiem bardzo w skrócie. stan aktualny: siec kablowa, 10 komputerow (10 x windows), łącze internetowe 1MB, neostrada przez router ADSL (edimax). stacje robocze sprzężone switchami. router od routera ochodzą kable wyłącznie do tych switchów. uwagi: kiedy z internetu korzystają wszystkie stacje robocze oraz przy intensywnym korzystaniu z udostępnionych zasobów windows, router "muli się". stan łącze dzielone jest przy pomocy switchów (też edmiax). porządany: komputer-serwer-router zarządzający siecią i udostępniający internet z tego samego źródła, lecz tylko WYBRANYM stacjom roboczym. główna różnica w topologii to wstawienie komputera-routera a) zamiast routera edimax (tu wykorzystanie wewn. karty ADSL) b) pomiędzy router edimax, a główny switch. pytania: 1. czy istnieje możliwość wyeliminowania routera sprzętowego, tj. instalacji wewnętrznego modemu ADSL i stosownego skonfigurowania go na komputerze-serwerze? nie mogę w necie znaleźć modemu ADSL na PCI kompatybilnego z neostradą i linuksem =/ 2. czy mogę liczyć na lepszą obsługę dostępu do internetu przez komputer-router linuksowy niż przez router edimax? (producent pisze o obsłudze max. 253 stacji roboczych, ale w rzeczywistości z neostradą 1MB normalnie pracować da się z 6-7 na raz). 3. proszę o jakieś namiary na tutoriale czy cuś. raz jeszcze, chodzi o rozwiązanie dla sieci: internet neostrada 1mb <=> modem ADSL (pci lub zewnętrzny router-modem) <=> serwer/router ubuntu <=> switche <=> stacje robocze. interesuje mnie wszystko od początku - potrzebny sprzęt, instrukcja konfiguracji systemu linuks.
pozdrawiam, Mirosław
@wrr (aka Mirosław)
Proszę, odezwij się do mnie na maila (night(-at-)linux.pl). Wiem w czym problem, wiem jak rozwiązać ale wolę to zrobić "na prywatnie".
Opis bardzo się przydał - dzięki. Interesuje mnie sytuacja, gdy "orion" jest podłączony do internetu przez dwa niezależne łącza i oba udostępnia pozostałym komputerom (oczywiście gdy oba są dostępne), czyli zakładamy, że komputer ma 5 kart sieciowych. Jak skonfigurować tablicę rutingu w takiej sytuacji.
Siema, dobry text, a stosowanie 3 kart to super pomysl jak sie chce rozdzielic trzy podsieci i zeby ci biedni ludzie sie NIE widzieli nawzajem po Sambie.
Well done, keep working.
Przydatny tekst :)