Differences

This shows you the differences between two versions of the page.

--- sermn_wiki:userpages:marta:router_firewall [2009/08/18 17:09]
miquel
+++ sermn_wiki:userpages:marta:router_firewall [2020/07/09 12:46] (current)
miquel
@@ Line 3: / Line 3: @@
 ===== Descripció =====
-L'ordinador que s'encarrega actualment de connectar la xarxa interna del SeRMN amb la xarxa de la UAB ja és força obsolet i cada dia està més a prop del seu final. A sobre, no només fa d'encaminador (//router//) entre ambdues xarxes, sinó que també fa de servidor de dades i gestiona l'accés restringit als espectròmetres, alhora que incorpora un senzill tallafocs (//firewall//). Per evitar haver de córrer el dia que finalment peti, he decidit substituir-lo per dos ordinadors, un dedicat específicament a fer d'encaminador/tallafocs i un altre que funcionarà com a servidor web, wiki, etcétera, alhora que també donarà accés a les dades als espectròmetres mentre no es posa en marxa un [[[[sermn_wiki:userpages:marta:nas_server | servidor NAS dedicat.]]
+L'ordinador que s'encarrega actualment de connectar la xarxa interna del SeRMN amb la xarxa de la UAB ja és força obsolet i cada dia està més a prop del seu final. A sobre, no només fa d'encaminador (//router//) entre ambdues xarxes, sinó que també fa de servidor de dades i gestiona l'accés restringit als espectròmetres, alhora que incorpora un senzill tallafocs (//firewall//). Per evitar haver de córrer el dia que finalment peti, he decidit substituir-lo per dos ordinadors, un dedicat específicament a fer d'encaminador/tallafocs i un altre que funcionarà com a servidor web, wiki, etcétera, alhora que també donarà accés a les dades als espectròmetres mentre no es posa en marxa un [[sermn_wiki:userpages:marta:nas_server | servidor NAS dedicat.]]
 Com a tallafocs tinc previst fer servir un dels ordinadors Hewlett Packard NetServer E60 500 substituïts als espectròmetres DPX-250, i deixar el segon com a reserva i font de peces de recanvi. L'ordinador que es faci servir caldrà actualitzar-lo:
@@ Line 23: / Line 23: @@
 Algunes d'aquestes modificacions no són necessàries per les primeres proves i es poden fer posteriorment, un cop ja estigui en marxa.
-<note tip>
+<WRAP tip>
 M'he de baixar els manuals on-line del NetServer E60 disponibles al
 [[http://h20000.www2.hp.com/bizsupport/TechSupport/DocumentIndex.jsp?contentType=SupportManual&lang=es&cc=mx&docIndexId=64379&taskId=135&prodTypeId=15351&prodSeriesId=45937 | website d'Hewlett Packard.]]
-</note>
+</WRAP>
 ===== Instal·lació i configuració del M0n0wall =====
@@ Line 61: / Line 61: @@
 ===== Configuració de xarxa dels servidors =====
 ==== El problema ====
 Ahir (2009-01-29) per la tarda em vaig posar a esbrinar perquè les connexions als servidors virtuals de vegades semblen no funcionar i fins i tot arriben a exhaurir el temps de connexió sense respondre. Em va sorprendre veure que ''ifconfig -a'' no donava cap estadística de tràfic per //eth0// i que ''netstat -rn'' o ''route''  mostraven una ruta duplicada. Vaig sospitar que el problema tenia a veure amb això i una [[http://www.google.com/search?hl=es&client=iceweasel-a&rls=org.debian%3Aes-ES%3Aunofficial&q=debian+dual+LAN+cards&btnG=Buscar&lr= | cerca al Google ho va confirmar.]]
-A l'enllaç [[http://www.linuxquestions.org/questions/linux-networking-3/why-can-i-not-ping-two-networks-337537 | Why can I not ping two networks?]] un usuari plantejava una situació semblant a la nostra. Té dues targetes de xarxa, totes dues amb adreces IP a la mateixa xarxa, //eth0// és //192.168.0.2// i //eth1// és //192.168.0.99//. Quan fa un ''ping'' a la segona IP, obté una resposta. Quan ho fa a la primera IP, la resposta és //unreachable//, però si indica que faci el ping a través d'//eth0// llavors sí que obté una resposta. El diagnòstic del problema és que té totes dues targetes assignades a la mateixa xarxa, i que de les dues rutes definides, Linux només fa servir la primera ruta vàlida que troba a la taula de rutes. La solució és que faci servir la màscara de xarxa per assignar un rang d'adreces (xarxa) diferent a cada interfície de forma que no hi hagi duplicitat de rutes a la taula de rutes.
+A l'enllaç [[http://www.linuxquestions.org/questions/showthread.php?t=337537 | LinuxQuestions.org: Why can I not ping two networks?]] un usuari plantejava una situació semblant a la nostra. Té dues targetes de xarxa, totes dues amb adreces IP a la mateixa xarxa, //eth0// és //192.168.0.2// i //eth1// és //192.168.0.99//. Quan fa un ''ping'' a la segona IP, obté una resposta. Quan ho fa a la primera IP, la resposta és //unreachable//, però si indica que faci el ping a través d'//eth0// llavors sí que obté una resposta. El diagnòstic del problema és que té totes dues targetes assignades a la mateixa xarxa, i que de les dues rutes definides, Linux només fa servir la primera ruta vàlida que troba a la taula de rutes. La solució és que faci servir la màscara de xarxa per assignar un rang d'adreces (xarxa) diferent a cada interfície de forma que no hi hagi duplicitat de rutes a la taula de rutes.
 Aquest és exactament el nostre cas, //eth0// té assignada la IP ''192.168.0.20/255.255.255.0'' i //eth1// la IP ''192.168.0.21/255.255.255.0'', i la taula de rutes resultant és,
@@ Line 128: / Line 127: @@
 Hosts/Net: 254                   (Private Internet)
 </code>
 ==== Configuració final de xarxa de l'encaminador ====
@@ Line 179: / Line 177: @@
 </code>
-<note tip>
+<WRAP tip>
-He configurat el //DNS Forwarder Overrides// del m0n0wall de forma que, pels ordinadors a la LAN,
+He configurat l'opció //DNS Forwarder Overrides// del m0n0wall de forma que pels ordinadors a la LAN
   * el hostname ''sermn.uab.cat/es'' es correspon amb la IP ''192.168.1.2'' (sermnserver.sermn.net), i
   * el hostname ''oldmrui.uab.cat/es'' es correspon amb la IP ''192.168.1.129'' (mruiserver.sermn.net).
-</note>
+</WRAP>
 ==== Configuració final dels virtual host ====
@@ Line 233: / Line 231: @@
 .0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1
 </code>
+una comanda alternativa és ''ip route show''.
 === Resolució d'adreces IP a partir del hostname ===
@@ Line 284: / Line 284: @@
 cie-58-175b.sermn.net
 </code>
 ==== Bibliografia ====
   * [[http://www.faqs.org/docs/linux_network/index.html | Linux Network Administrators Guide]]
-  * [[http://www.linuxquestions.org/questions/linux-networking-3/why-can-i-not-ping-two-networks-337537 | Why can I not ping two networks?]]
+  * [[http://lartc.org/ | Linux Advanced Routing & Traffic Control.]] A must read on //iproute2// the (not so) new Linux routing framework, and the ''ip'' command that replaces ''ifconfig'', ''route'' and similar old commands.
+  * [[http://www.clarkconnect.com/help/userguide/ | ClarkConnect User Guide.]] It is a server/gateway software solution. Its documentation is quite complete and detailed.
+==== Enllaços ====
+  * [[http://www.linuxquestions.org/questions/showthread.php?t=337537 | LinuxQuestions.org: Why can I not ping two networks?]]
+  * [[http://www.linuxquestions.org/questions/showthread.php?t=283782 | LinuxQuestions.org: Can't route/ping between networks]]
+  * [[http://www.howtoforge.com/perfect-server-debian-lenny-ispconfig2 | The Perfect Server - Debian Lenny (Debian 5.0) [ISPConfig 2]]]. For instance, it is mentioned: //"replace allow-hotplug eth0 with auto eth0; otherwise restarting the network doesn't work, and we'd have to reboot the whole system"//.
+  * [[http://www.howtoforge.com/perfect-server-debian-lenny-ispconfig3 | The Perfect Server - Debian Lenny (Debian 5.0) [ISPConfig 3]]]
+  * [[http://www.debianadmin.com/rename-network-interface-using-udev-in-linux.html | Rename Network Interface using Udev in Linux]]
+  * [[http://www.debianadmin.com/debian-networking-for-basic-and-advanced-users.html | Debian Networking for Basic and Advanced Users]]
+  * [[http://www.howtoforge.com/forums/archive/index.php/t-34029.html | Dual NIC config question.]]

SeRMN Wiki

User Tools

Site Tools

Differences

Page Tools