ugrás a tartalomhoz

Szervergép routerként használata

mapdesign18 · 2012. Ápr. 24. (K), 12.26
Sziasztok,

Nem tud-e valaki egy biztosan működő jó how-to -t arra, hogy hogyan csináljak routert egy szerverből az alábbi kritériumok alapján:

- csatlakozott kliens fel/le töltésének korlátozása (erre elég azt hiszem egy síma iptables rule)
- internet használatának engedélyezése (összes porton, mintha csak switch vagy router lenne) >> itt már komoly gondok adódtak, mert a win7 nem tudott csatlakozni.
- a szervergépen futó pl. webszerver elérése >> szerintem ennek is gond nélkül mennie kell.

Amivel rendelkezem:

- Egy GNU Debian 6.0 / squeeze telepítésű szerver.
- 5 darab hálókártya (eth0 = internet bemenet, eth1 .. eth2 .. eth3 .. eth4 = szabad hálókártya - innen menne ki a többi gépfelé a net)

Sok how-ot val próbálkoztam eddig de mindig kudarc volt a dolog, szóval nem azért írok, mert lusta vagyok guglizni.

A válaszokat előre is köszönöm!
‹ Node.js modul default context helyett 404- es hibaoldal hogyan ?(Apache 2.2 Tomcat 7 mod_jk ) ›
 
1

Tuzfal

janoszen · 2012. Ápr. 24. (K), 12.43
Az alapveto problema, amibe bele fogsz szaladni, hogy ez nem annyira howto alapjan megoldhato feladat, meg kell tanulni a Linuxos tuzfalazas mikentjet es az nem feltetlenul egyszeru. Folyatodik azzal, hogy gondolom szeretnel valamifele kezelofeluletet, szal azt is meg kellene irni. A switchportonkenti szabalyozashoz pedig kell 802.11X, aminek a kliens oldali supportja is erdekes.

Ha hajlando vagy bele SOK energiat olni, szivesen segitek osszerakni, de vegyel fel Skypeon, mert azt a mennyisegu infot nincs energiam legepelni. Egyszer lehet, hogy csinalok belole tutorialt.
3

Bővebben

janoszen · 2012. Ápr. 24. (K), 17.55
Na, akkor most ráérek kicsit bővebben írni. Szóval, nem tudom port alatt mit értesz, ha switchportot, akkor zsebbe nyúlós lesz. Ha TCP vagy UDP portot, akkor egyszerűbb a dolog. A router felépítés Linuxban IP forwarding néven fut, opcionálisan SNAT illetve MASQUERADE is kellhet a dologhoz. Magyarán szólva a FORWARD chainen kell filterezned, hogy ki merre mehet. Miután valószínűleg lesznek tipikus csoportjaid, érdemes az azokra vonatkozó szabályokat egy-egy külön chainben definiálni, akkor szépen karban is lehet tartani.

Ami a rate limitelést illeti, az egy fogós ravasz kérdés, mert pont lefele irányban nincs ráhatásod a távoli send bufferre, szóval játszani kell egy kicsit, hogy ne legyen nagyon elviselhetetlen a végpontokon a netsebesség. Alapvetően minden forgalom-fajtát, amit külön akarsz kezelni, iptables-el preroutingban meg kell MARK-olni, majd utána tudsz TC szabályokat illeszteni rá.

Namost, ez így egyben leírva tényleg kicsit sok, de ha rákeresel az egyes kifejezésekre, fogsz találni leírásokat, amik tovább visznek. Alternatívaként érdemes megnézni a TP-Link WR1043ND sorozatszámú routert, nekem itthon ez ketyeg és az iPonban 13k-ért lehet vételezni, tehát nem is egy olyan borzasztó drága dolog.
2

Nem egyszerű

Hidvégi Gábor · 2012. Ápr. 24. (K), 13.08
Ha PC alapú a szervered, nem biztos, hogy megér annyit az egész, amennyi munkát bele kell fektetned, mert valószínűleg sokat fog fogyasztani, és sok órád el fog menni, mire jól belősz mindent.

A legegyszerűbb, ha keresel egy jó routert, bár valószínűleg a drágább kategória tud sávszélesség-korlátozást. Ezek a (z általában) ARM alapú vasak jóval kevesebb energiával beérik, mint egy öt hálókártyás PC.

Ha szeretsz hack-elni, érdemes lehet megnézni a routerboard.com-ot, ahonnan nagy választékban tudsz rendelni (Mo-n is van egy forgalmazójuk), erre felteszel egy Linuxot vagy OpenBSD-t, és lesz egy jó kis routered.
4

Hogy teljesen őszinte legyek

mapdesign18 · 2012. Ápr. 24. (K), 22.19
Hogy teljesen őszinte legyek egy kiesebb LAN party-t szervezek és a switch-em valami oknál fogva teljesen bedöglött (se kép - se hang). Teljesen egyetértek, hogy energiafogyasztásban totálisan rossz megoldás, mivel egy 450W-os táp eszik rendesen.

PC szerverről van szó egyébként, egy AMD CPU-val (3.0 GHz CPU, 2x2 GB ram, 2x300 GB HDD, alaplapi raid vezérlő, 5 hálókártya).

Szóval nem feltétlen kell nekem konkrét net korlátozás hálókártyánként, jó valamiféle balancing megoldás is (ha létezik). Kezelőfelület nem feltétlen fontos.

A cél az lenne, hogy ha valamelyikünk játékban van és egy másik emberke elkezd youtubezni, ne tudjon minket totál elrántani. De előbb azt kellene megoldani, hogy menjen a hálókártya internet kimenet ként és LAN-ba tudjuk kötni.

Nézegettem neten is a témát és az alábbiakra bukkantam:

- http://users.telenet.be/mydotcom/howto/lanconnect/router/linux.htm
- http://www.ducea.com/2006/08/01/how-to-enable-ip-forwarding-in-linux/

Sajnos az utolsó cikk elég outdated, de elég jól összefoglalja.

Igazából arra lennék kíváncsi, hogy erre a "router" megoldásra nincs-e ilyen project vagy package féleség.

PS: Szerencsére elég sokat voltam linuxon, így nem vagyok totál júzer a témában, tűzfallal is foglalkoztam elég sokat azon belül az iptables-el. De ez a net forwardos dolog betett.
5

QOS

janoszen · 2012. Ápr. 24. (K), 22.46
Elkezdtem leírni egy tutorialt neked, de az az igazság, hogy a tc kezelése elég pilótavizsgás és nincs itthon elég teszt készülékem és nekem is el kellene szöszölni rajta sztem egy pár órát elsőre, szóval inkább nem írok tippeket. Sztem ezt a tutorialt érdemes átolvasni: http://www.andybev.com/index.php/Fair_traffic_shaping_an_ADSL_line_for_a_local_network_using_Linux
6

Nézem a tutorialt, hálás

mapdesign18 · 2012. Ápr. 24. (K), 23.50
Megnézem a tutorialt, jó kiindulási pontnak tűnik. Hálás köszönet érte! Holnap tesztelem, majd írok mire jutottam.
7

Ha leszedsz egy tűzfal/router

rolikhan · 2012. Ápr. 25. (Sze), 01.33
Ha leszedsz egy tűzfal/router disztrót és elindítod/felrakod szerintem jobban jársz. Előre be vannak állítva out of the box dolgok, amiket nem kell leírásokkal végigszívni.
Van amit live lehet futtatni és a konfigot ki lehet rakni pendrive-ra, vagy amire szeretnéd. Ezeket nézd meg, nekem a ClearOS és a Pfsense jött be. A ClearOS egyszerűbb történet.
clearos
ipcop
ipfire
monowall
pfsense
8

En is ebben gondokodom

mapdesign18 · 2012. Ápr. 25. (Sze), 14.59
Sajnos mivel gyorsan kell a dolog, ezert valoszinuleg a disztros megoldast alkalmazom. De a kesobbiekben erdekelne a dolog, ezert biztos megakarom majd csinalni a debian-os megoldast.

Proclub: a tutorialt halasan megkoszonnem, biztos vagyok benne, hogy mast is erdekel a tema. Ha hazaertem felveszlek Skype-ra, amennyiben nem gond.
9

Lehet

janoszen · 2012. Ápr. 25. (Sze), 15.24
Rakhatunk ossze, de sztem ebbol tobb reszes tutorial lesz. :)
10

Zenytal

gyrgyvrs · 2012. Május. 1. (K), 20.37
Nálam rosszak a fenti linkek, másrészt a clearos-hez hasonló a zenytal nevű cucc, ha jól emlékszem, mindkettő Windows sbs serverre hajaz (kisvállalati szerver)