Fórumok
Sziasztok!
Na most lehet, bohócot csinálok magamból, de inkább kérdezek, mint feleslegesen hülyeséggel szívjak.
Szóval van 5 VPS-em.
Egy Rackforest-es, egy Integrity-s, egy Contabo-s, és két Arubacloud-os (DC3-CZ).
Arubánál látom, van Endian tűzfal installra is lehetőség, úgyhogy most gondolkodom azon, hogy lehet veszek egy 3. Arubás gépet, amire rakok egy Endian-t és innentől kezdve mindegyik VPS-emet ide forwardolok ezáltal berakva őket tűzfal mögé. Szerintetek ez így működhet, vagy csak Arubán belül a 2 géppel?
Érdemes ezzel játszadozni vagy hagyjam a fenébe?
Hozzászólások
Ha VPN-nel összehúzod, akkor igen, egyébként sok minden nem fog menni egy egyszerű iptables forwarddal, pl. ftp sem (nálam legalább is nem ment).
Erről picit írnál bővebben?
Ha jól értem, akkor az Endian-t kell VPN szerverként belőni, és a VPS-ek (mint kliensek) csatlakoznak rá?
--
-- GKPortál Blog
Tégy Jót!®
Legyen neked is Dropbox tárhelyed! :)
Igazából bármelyik már meglévő gépet fel tudod használni. OpenVPN szervert telepítesz rá, ide becsatlakozik a többi géped, mint kliens.
A push route és iroute használatával megmondod, hogy ki merre van. Kell egy kicsit molyolni vele, de a hupon /google-n találsz több használható OpenVPN leírást.
Lehet rosszul emlékszem (ha igen akkor majd valaki kijavít), de ftp esetén a kapcsolat felépítése után egy alternatív port tartományban folytatódik a kommunikáció, nem az ftp porton. Ahhoz hogy ez működjön tűzfal mögött is, az ftp szerver konfigjában megadott port tartományt is forwardolni kell. Ha több szervered van, akkor minden szerveren más tartományt adj meg.
Ftp conntrack modult betoltotted? :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
ne keverjuk a szezont a fazonnal: a sima packet forwarding egy L3-as dolog, mig connection tracking akkor kell, ha NAT-ol. o sima "iptables forward"-rol beszel, akarmit is jelentsen ez (ez a baj ezzel a szakmaval, hogy mindenki pontatlanul hadoval hulyesegeket), ami nem feltetlen NAT..
Jogos, nekem egybol natolt dolog jott le, kozben lehet hogy nem.
A conntrack valoban csak nathoz kell.
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
Hat, ez igy szerintem nem tul jo, mert minden VPS tovabbra is kozvetlenul kapcsolodna az internetre es konnyu ugy elrontani a konfigot, hogy meg lehessen kerulni a tuzfaladat.
A korrekt megoldas szeritem az lenne, hogy atkoltozteted az osszes VPS-t egy olyan helyre, ahol kapsz sajat VLAN-t (vagy valami privat/nak latszo halozatot) es csak a tuzfal VPS-ednek van kozvetlen internet kapcsolata.
Ez egy kicsit agyuval a verebre hangzik.
--
http://blog.htmm.hu/
Pont azért jó is lehet, ami miatt úgy véled, hogy nem: egy jól összerakott konfiggal beválhatja a hozzáfűzött reményeket.