Sziasztok!
Van egy szerver , ami T-online internetkapcsolattal rendelkezik , azaz pppoe-n keresztül betárcsáz es osztja a netet jelenleg csak eth0-kartyanak. Ezen az eth0 kartyan keresztul fernek hozza a dolgozok az internethez , illetve a belso halozaton futo samba megosztasokhoz.
Jovo heten ujratelepitem ezt a szervert , es gondoltam utananezek , hogyan lehetne optimalisan beallitani a halozatot.
Ezzel kapcsolatban az lenne a kerdesem , hogy szerintetek jo ez igy, ahogy jelenleg van , azaz 1 ethernet kartyas megoldas , vagy tegyek be meg egy eth1 kartyat , es szeparaljam szet a halozatot kulso es belso halozatra.
Igazsag szerint mar napok ota olvasgatok a neten külföldi forumokat ezzel kapcsolatban , deerősen megoszlanak a velemenyek , valaki szerint eleg egy ethernet kartya, valaki szerint mindenkeppen kell 2 ethernet kartya , ahhoz , hogy a halozat optimalisan mukodjon.
A problemam az , hogy nem tudom , hogy az egy ethernet kartyas megoldas eseteben , a tenyleges net forgalom most a fizikailag jelen levo eth0-n , vagy a virtualis ppp0-n megy at.
A valaszokat es a segitseget elore is köszönöm!
Üdv,
gedg87
Hozzászólások
voltam én is hasonló cipőben, a vége még egy ethernet kártya lett, azzal mindenképpen elegánsabb, és végre tudtam interfészre matchelő tűzfalszabályt írni :)
--
>'The time has come,' the Walrus said<
Nagyjából egy ethernet kártya árából kaphatnál egy SOHO routert is. (jó, ez költői túlzás)
Nem lenne jobb megoldás?
Persze kérdés, mekkora sávszélességet kell kiszolgálni, milyen igények vannak a biztonsággal kapcsolatban stb.
Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)
Akkor nem értem. Van egy hálókártya a gépben abba be van dugva a t-online-os kábel. Hogyan csatlakoznak a dolgozók?
Egy switchbe fut be a server ethernet kabele es a dolgozok ethernet kabelei.
Es a t-online fizikailag hogyan jon?
A szemben levo epuletbol jön at optikai kabelen keresztül , 10Mbps/512Kbps sebessegu internet kapcsolat.
Ugyanabba a switchbe, ahova a szerver és a dolgozók gépei. (Más lehetőség egy darab szerver hálókártyával nem nagyon van.)
A kolléga erre volt kíváncsi. :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
Elegansabb sok szempontbol, ha kulon interface-en van a belso es kulso forgalom, nem egy kozos switchen.
tehat akkor ha lesz egy ppp0 betarcsazos , illetve egy eth0 es, egy eth1 interface a serverben , akkor a ppp0 es az eth0 lesz a külső , vagy csak a ppp0 , es az eth0 illetve az eth1 kartyakon fog a belso forgalom atmenni? kicsit nehezen latom at tudom , nehez eset vagyok , de probalom megerteni ezt a tematikat , betarcsazos kapcsolatot pedig most kezelek eloszor linux alatt.. eddig csak eth0 es eth1-es halozattal volt dolgom.
Az egyik eth-n megy a ppp (kozvetlenul a bejovo modembe, vagy nem tudom mibe dugva), ez a kulso, a masik eth megy a switch-be, ez lenne a belso.
Az egy interface-es megoldast klasszikusan "router on a stick"-nek hivjak. A szep megoldas az ha van egy menedzselheto switch es annak egy vlan-ja megy a modem fele, a tobbi pedig a kliensek fele. Ez egy jol mukodo megoldas amit sok helyen hasznalnak.
Az is mukodik ha nem menedzselheto a switch, azonban biztonsagi problemakat vet fel. En evekig hasznaltam ilyen felallast otthon (Cisco 2600 szerias router-rel), de elsosorban azert mert igy ha akartam akkor a gepekrol kulon-kulon is indithattam PPPoE kapcsolatot, megkerulve a routert, es igy azok publikus IP-t kaptak. Ceges kornyezetbe nem ajanlanam.
Ha van egy jo switched, akkor ajanlom a vlan-ok hasznalatat erre. Ha azonban nincs, akkor egy ethernet kartya beszerzese a koltseghatekony megoldas. Mivel egyik verzio sem tul draga es nem valami rohadt draga routerbe kell modult venned ezert en mindenkeppen ajanlanam ennek a meglepeset.
Ha van a fiokban egy elfekvo kartya es egy kabel is, akkor erdemes beletenni es a switch-bol fizikailag kivenni a kulso cimet es a forgalmat. Jo ujjgyakorlatnak. Biztonsag szempontjabol igy fizikailag is elvalasztodik a szolgaltato feloli es a belso forgalom.
t --- szerver --- switch --- munkaallomasok
Persze a netkapcsolat, a kartya es a switch sebesseget, a munkaallomasok szamat, valamint a samba terheltseget is erdemes belevenni a szamitasba. No meg a rendelkezesedre allo idodet :) Jelenleg a kartyadon 2*net+samba forgalom megy. Ket kartya eseten net+samba lesz befele, a masikon meg csak a net.
eth0 vs ppp0 --- Fizikailag az eth0-an megy at mindketto forgalma, logikailag pedig kulonvalasztodik, lehet ra szabalyokat irni. tcpdump-al erdemes belekukucskalni eth0 forgalmaba. Azon megy ppp0 is csak "becsomagolva".
Felmerült bennem egy kérdés , ami lehet , hogy orbitális nagy baromság , de lehet , hogy nem.
Ha 2 ethernet lesz a szerverben , egyik a belső háló (192.168.88.1), másik a külső háló (192.168.44.1) , akkor mindkét ethernet interface kabele befuthat egyetlen switchbe , ami csak egy alap 3com tipusu semmi extra funkciot( manageles , vlan trunk) nem tudo 24 portos 10/100-as switch , ezaltal kiszolgalva a dolgozok belso es kulso halozatat?!
Tehat nem lesz kavarodas a halozatban , ha egy swithcbe befut 2 különböző ip tartomany kabelezese?
1. A switch nem foglalkozik az IP cimekkel, igy nem okozna gondot.
2. Csak az egyiket kotod a switch-be. A masik megy kozvetlenul a kulso halozatba/modembe.
Köszönöm a gyors választ!
Így akkor marad a 2 ethernet kártyás megoldás.
Össze is állítok rá nemsoká egy firewall shell scriptet...:)
Megoldható egy interface-el is. En is sokat filoztam rajta, de a microserveremben nem volt mar hely még egy hálókártyának, USB-LAN-t nem akartam a ppp irányába, így aztán virtuális ethernet interface-ekkel megoldottam.
em1 - belső hálózat subnet
em1.1 - ppp kapcsolat - az ADSL modem ugyanabban a 8 portos switchbe csatlakozik, amelyik a LAN megosztást végzi
wlan0 - wifi
ezzel a meglodással teljesen kiváltottam a routerem.
Hi!
Érdeklődnék mi lett a megoldás?
én úgy csinálnám, hogy a szerver lenne gyak a DHCP szerver és a tűzfal is. pár script és kész is van. 2 kártyával. az 1iken jön be a net a másikon meg a háló és a net a klienseknek. a tűzfallal meg szépen megoldod, hogy ne férjenek hozzá illetéktelenek a belső hálózathoz.