Уважаемые админы!Подскажите простому учителю - как можно сделать чтобы между существующим веб-сервером и подключением к провайдеру установить сервер FREEBSD? Хочу ограничить веб-сервер школы под управлением Win2k3 от "юных хакеров", открыв только нужные мне порты.
Несколько лет назад настраивал веб=сервер, помню что не очень сложно. Подскажите, куда копать - мне нужно чтобы пробрасывался только порт веб-сервера до внутреннего компьютера и PPOE-соединение чтобы пробрасывалось.
А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо него на win2k3 сервер ipfw. Если не устраивает IIS, замените на apache или на связку nginx+apache.
>А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо
>него на win2k3 сервер ipfw. Если не устраивает IIS, замените на
>apache или на связку nginx+apache.Всё устраивает. Но я не лезу в тот сервер, т.к. на нём другие задачи ещё, поэтому не хочу заниматься этим. А лишь добавить граничный маршрутизатор.
>>А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо
>>него на win2k3 сервер ipfw. Если не устраивает IIS, замените на
>>apache или на связку nginx+apache.
>
>Всё устраивает. Но я не лезу в тот сервер, т.к. на нём
>другие задачи ещё, поэтому не хочу заниматься этим. А лишь добавить
>граничный маршрутизатор.Поставь мост.
Если есть возможность менять адреса, поставь проксирующий nginx или +apache.
>Поставь мост.
>Если есть возможность менять адреса, поставь проксирующий nginx или +apache.А для чего мне проксирующий nginx или +apache?
Я планирую мост (IP.forward=1) + Firewall или что-то подобное (IP tables, например), поставить.
iptables это линукс, а не freebsd. Если разница для вас не приципиальна и захотите попробовать линукс, то на этом сайте есть отличная дока по iptables: http://www.opennet.me/docs/RUS/iptables. Собственно для работы достаточно поставить промежуточный сервер и добавить два правила типа
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (Разрешение на хождение наружу для всех машин сети, это в случае если у вас динамический ip и внешний интерфейс это ppp0, если статика, то лучше SNAT, вместо MASQUERADE)
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_вин_сервера (проброс 80-го порта на нужную машину, может понадобиться еще 443 для https, но не уверен как это будет работать, учитывая особенности ssl)
Конечно желательно поставить политику DROP/REJECT на INPUT и FORWARD и добавить ряд разрешающих правил, в указанной выше доке есть пример и готовый скрипт, не вижу смысла его копипастить сюда.
Вот это то что мне нужно.
Не подумайте, что лень читать доки, просто сроки сжатые - до конца этой недели нужно вспомнить и настроить.Всё-таки предпочитаю FreeBSD. Подскажите, как в нём настроить данную ситуацию (ссылку на доки/мануалы/туториал будет достаточно).
Я вот ещё думаю, как будет пробрасываться PPPoE-соединение с Win2K3 (необходимо оставить на нём, т.к. на нём помимо веб-сервера, существует биллинг на доступ из внутренней сети в интернет). А так как веб-сервер на этой же машине (на неё будет пробрасываться 80-ый порт), то не очень доверяя имеющемуся Трафик Инспектору (TI) хочу сделать доп. с сервер на FreeBSD.
>iptables это линукс, а не freebsd. Если разница для вас не приципиальна
>и захотите попробовать линукс, то на этом сайте есть отличная дока
>по iptables: http://www.opennet.me/docs/RUS/iptables. Собственно для работы достаточно поставить промежуточный сервер и
>добавить два правила типа
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (Разрешение на хождениеПодскажите пожалуйста, если во FreeBSD нет iptables - как в нём это же реализовать? Напр, ipfw. Ещё прочитал что вроде через ipnat это в 2 строчки решается.
>Подскажите, куда
>копать - мне нужно чтобы пробрасывался только порт веб-сервера до внутреннего
>компьютера и PPOE-соединение чтобы пробрасывалось."интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что написали ?
>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что
>написали ?Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в Интернет.
Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно срочно до конца недели решить!!!
>>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что
>>написали ?
>
>Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в
>Интернет.
>
>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно
>срочно до конца недели решить!!!переброс порта в инете много, к примеру http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72
перебросить впн не получиться.
выход был выше. на шлюзе бсд ставить apache или nginx и не мучить себя.
>>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что
>>написали ?
>
>Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в
>Интернет.
>
>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно
>срочно до конца недели решить!!!если я правильно понял, канал для школы у вас поднимается через это самое PPPoE соединение? Если так - то никакими пробросами это не решается, я не вижу вариантов решения кроме как переносом шлюза с виндозного сервера на FreeBSD.
Биллинг на винде при этом тоже возможно удастся заставить работать.
>[оверквотинг удален]
>>Интернет.
>>
>>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно
>>срочно до конца недели решить!!!
>
>если я правильно понял, канал для школы у вас поднимается через это
>самое PPPoE соединение? Если так - то никакими пробросами это не
>решается, я не вижу вариантов решения кроме как переносом шлюза с
>виндозного сервера на FreeBSD.
>Биллинг на винде при этом тоже возможно удастся заставить работать.
>если я правильно понял, канал для школы у вас поднимается через это
>самое PPPoE соединение? Если так - то никакими пробросами это не
>решается, я не вижу вариантов решения кроме как переносом шлюза с
>виндозного сервера на FreeBSD.
>Биллинг на винде при этом тоже возможно удастся заставить работать.1. Да, через PPPoE нужен инет. Проброс нужен внутрь, на веб-сервер.
А авторизацию можно и через FreeBSD сделать, а уже биллинг заставить ходит в инет через другой адрес, думаю, это элементарно.2. Я почему про проброс VPN (PPPoE) сказал - т.к. не знаю как делается подключение через VPN во FreeBSD, поэтому подумал, вдруг кто подскажет вариант, как его оставить на винде.
>[оверквотинг удален]
>>виндозного сервера на FreeBSD.
>>Биллинг на винде при этом тоже возможно удастся заставить работать.
>
>1. Да, через PPPoE нужен инет. Проброс нужен внутрь, на веб-сервер.
>А авторизацию можно и через FreeBSD сделать, а уже биллинг заставить ходит
>в инет через другой адрес, думаю, это элементарно.
>
>2. Я почему про проброс VPN (PPPoE) сказал - т.к. не знаю
>как делается подключение через VPN во FreeBSD, поэтому подумал, вдруг кто
>подскажет вариант, как его оставить на винде.Чесное слово: читал бегло!!!! а есть вариант поставить прокю??? что скажете???? (кстати, читал с похмель, не судите строго)
>Чесное слово: читал бегло!!!! а есть вариант поставить прокю??? что скажете????
>(кстати, читал с похмель, не судите строго)Есть такой вариант. На FreeBSD можно поставить что угодно. ТОлько к концу недели должно быть какое-нить понятное решение, остался один день. Какая идея с проксей?
>>Чесное слово: читал бегло!!!! а есть вариант поставить прокю??? что скажете????
>>(кстати, читал с похмель, не судите строго)
>
>Есть такой вариант. На FreeBSD можно поставить что угодно. ТОлько к концу
>недели должно быть какое-нить понятное решение, остался один день. Какая идея
>с проксей?теряете время :)
http://www.opennet.me/base/modem/pppoe_freebsd_client.txt.html
>http://www.opennet.me/base/modem/pppoe_freebsd_client.txt.htmlВот, то что нужно. Спасибо dz, sdm. Пойду на работу пробовать.
Если будут ещё дополнения в ветке - с удовольствием прочитаю и учту.
P.S. Apache не подходит, т.к. принципиально чтобы веб-сервер поддерживал ASP.Вопрос. А когда я сделаю проброс только веб порта и "умолчальную" установку FreeBSD - это уже будет защитой внутренней сети? Или ещё нужно что-то firewall'ить во внутренней сети?
Просто я так представил, раз пробрасывается только один порт, значит до остальных доступа нет, только если коннектиться к FreeBSD и с него уже дальше. Верно мыслю?
Доброго дня.1. Поставьте FreeBSD (к примеру FreeBSD 6.3R)
2. Установите порты
#portsnap fetch
#portsnap extract
3. Установите из портов portfwd (если не хотите связываться с NAT-ом)
#cd /usr/ports/net/portfwd
#make install clean
4. Отредактируете файл portfwd.cfg (пробросьте те TCP,UDP порты которые необходимы)
# ee /usr/local/etc/portfwd.cfg (если не хотите разбираться с vi)
5. Запустите portfwd
# /usr/local/etc/rc.d/portfwd.sh startВсе.
>[оверквотинг удален]
>#portsnap extract
>3. Установите из портов portfwd (если не хотите связываться с NAT-ом)
>#cd /usr/ports/net/portfwd
>#make install clean
>4. Отредактируете файл portfwd.cfg (пробросьте те TCP,UDP порты которые необходимы)
># ee /usr/local/etc/portfwd.cfg (если не хотите разбираться с vi)
>5. Запустите portfwd
># /usr/local/etc/rc.d/portfwd.sh start
>
>Все.Забыл добавить, что сначало необходимо настроить сетевые интерфейсы:
Добавьте строки в /etc/rc.conf следующие:
ifconfig_sk0="inet 10.0.1.10 netmask 255.255.255.0"
ifconfig_nve0="inet 192.168.1.10 netmask 255.255.255.0"
defaultrouter="10.0.1.1" ; шлюз в Интернетгде ifconfig_xxx - это сетевые карты установленные в вашем шлюзе.
Узнать их можно, выполнив:
#ifconfigПосле добавление их в /etc/rc.conf
#rebootи настраиваем portfwd
Вроде кое-что получается с PPPoE,
а теперь вопрос - по этому протоколу вроде даётся динамический IP?У меня при попытке выйти в инет пишет no route to host?
как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
>Вроде кое-что получается с PPPoE,
>а теперь вопрос - по этому протоколу вроде даётся динамический IP?
>
>У меня при попытке выйти в инет пишет no route to host?
>
>
>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
>проверить и закомментировать в rc.conf параметр, если он есть, dafault_router=""
покажите вывод команд:
ifconfig
netstat -rn
>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?#в ppp.conf:
set device PPPoE:em0
#если нужен nat, и он сейчас не настроен, то добавить пока:
ppp_nat="YES"
>проверить и закомментировать в rc.conf параметр, если он есть, dafault_router=""
>
>покажите вывод команд:
>ifconfig
>netstat -rn
>Видимо, я забылся - PPPoE работает только от определённого IP, думал через свитч сигнал пройдёт, но я так понял что сигнал PPPoE-кабель теряется при свичте, необходимо подключать напрямую в комп.
Поэтому, я просто попробовал что ошибок не выдаёт.
>>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
>#в ppp.conf:
>
>set device PPPoE:em0А, это я уже сделал. А нужно ли etc/rc.conf указать этот тип соединения как шлюз, днс, дефолт_раутер???
>#если нужен nat, и он сейчас не настроен, то добавить пока:
>ppp_nat="YES"Что значит пока?
Кстати, если нетрудно - проясните.
Ставил два ноутбука по обе стороны сервера, ставил разные адреса сети (вроде даже с разными масками), нормально удалось подключиться от одного ноута к другому по удалённое подключение рабоч. стола. А что тогда есть нат? Почему без него нормально заработало???Ну всё, уже 20.44, пора домой, завтра продолжу свои изыскания.
Пожалуйста, кому не трудно - будьте на связи хотя бы в этом форуме.
Пишет no route to host.Как ему указать что при подключении PPPoE (tun0) вся маршрутизация через него?
>Пишет no route to host.
>
>Как ему указать что при подключении PPPoE (tun0) вся маршрутизация через него?
>Оказалось что не происходило аутентификации (не правильно написал логин), поэтому данные не присваивались и в нет не выходил. Только исправил в /etc/ppp/ppp.conf сразу соединению tun0 присвоился адрес от провайдера и заработал инет!