Allt från Computex 2023
Permalänk

Shorewall på http-server?

Hejsan!

Jag undrar hur osäkert det blir med en router som inte är enbart det. Funderar på att utvidga min http-server mha shorewall, är det en kass idé?

På servern har jag apach, php, mysql i stort sett.

Min plan är att ha två nätverksskort: ett wan och ett lan. Min tanke var att man skulle definiera två interfaces (eth0 och eth1, går det?) och sedan använda eth0 till routening av all trafik och eth1 till alla serveraplikationer, som då måste gå genom eth0. På så vis tänkte jag att det inte skulle bli allt för uppenbart hjur nätverket är konfigurerat?

Tack på förhand!

[edit] Efter att ha läst på lite har jag upptäckt att shorewall kanske inte var det jag letade efter. Det jag vill ha är väl egentligen ett webgränssnitt för att göra inställningar på routern. Jag har styr servern mha ssh nu, men det vore skönt att ha något som skyddar mig från ad hoc-lösningar som pajar allt...[/edit]

Visa signatur

Athlon XP 2500+ @ 3200+ | A7N8X-deluxe | 1 Gb PC3200 | 160 Gb Samsung SATA-disk | Sapphire Radeon 9800SE

Permalänk
Medlem

Re: Shorewall på http-server?

Citat:

Ursprungligen inskrivet av Pablo Villa
Hejsan!

Jag undrar hur osäkert det blir med en router som inte är enbart det. Funderar på att utvidga min http-server mha shorewall, är det en kass idé?

På servern har jag apach, php, mysql i stort sett.

Det går utmärkt att köra "routing" och serverprogram på samma dator. Gör så själv.

Självutnämnda säkerhetsexperter kommer dock att tala om för dig att det minsann är en dålig idé och att servrar skall placeras i en DMZ. Du får väga för- och nackdelarna.

Citat:

Ursprungligen inskrivet av Pablo Villa
Min plan är att ha två nätverksskort: ett wan och ett lan.

Ett normalt scenario.

Citat:

Ursprungligen inskrivet av Pablo Villa
Min tanke var att man skulle definiera två interfaces (eth0 och eth1, går det?)

Ja, det är vanligtvis vad man får med två nätverkskort.

Citat:

Ursprungligen inskrivet av Pablo Villa
och sedan använda eth0 till routening av all trafik

Ja, det går att köra NAT (vilket är det jag utgår ifrån att du tänker använda) med enbart ett nätverkskort, men det är ju väldigt onödigt när du har två.

Citat:

Ursprungligen inskrivet av Pablo Villa
och eth1 till alla serveraplikationer, som då måste gå genom eth0.

Vill du att serverprogrammen ska binda till eth1s ipadress för att kunna begränsa åtkomsten, eller vad?

Permalänk

Jag inser att jag var lite otydlig. Jag vill alltså ha ett kort som är dedikerat till Wan, och ett som är dedikerat lan. På lan-kortet vill jag ha två ip-adresser; ett till serverdelen och ett till att dela uppkopplingen. Sen routar jag vissa portar vidare från router-ip:t till server-ip:t.

Tanken är att det åtminstone vid första ögonkast ska se ut som att servern-programvaran ligger på en annan dator.

Visa signatur

Athlon XP 2500+ @ 3200+ | A7N8X-deluxe | 1 Gb PC3200 | 160 Gb Samsung SATA-disk | Sapphire Radeon 9800SE

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Pablo Villa
Jag inser att jag var lite otydlig. Jag vill alltså ha ett kort som är dedikerat till Wan, och ett som är dedikerat lan. På lan-kortet vill jag ha två ip-adresser; ett till serverdelen och ett till att dela uppkopplingen. Sen routar jag vissa portar vidare från router-ip:t till server-ip:t.

Tanken är att det åtminstone vid första ögonkast ska se ut som att servern-programvaran ligger på en annan dator.

Virtuella interface i Linux fixar sånt.

Visa signatur

Mina boktips: Clean codeHead First Design PatternsHead First Object-oriented Analysis and Design
Innovation distinguishes between a leader and a follower. — Steve Jobs