nfs pres firewall

Dan Lukes dan at obluda.cz
Fri Sep 15 15:38:13 CEST 2006


Pavel Hlubík napsal/wrote, On 09/15/06 14:45:
>>Ale neodpustim si poznamku, ze mit server, ktery ma byt dostupny "z
>>venku" na neverejne adrese je pekna cunarna.
> 
> V mem pripade se jedna o mailserver. Nedam za to ruku do ohne, ale mit 
> servery v DMZ, ktere jsou mj. i verejne dostupne, je snad spravne? Nebo je 
> to opravdu cunarna?

	Mit servery v DMZ je v poradku. Ale DMZ neni "misto s privatnimi 
adresami, odkud se ven leze pres preklad". Standardne by DMS obsahujici 
verejne dostupne servery mela mit normalni verejne dostupne adresy (tim 
netvrdim, ze neexistuje zadna situace, kdy je preklad rozumny, jen 
rikam, ze standardni reseni je jine).

> Ale ja mam konektivitu. Nebo se obecne nekonektivitou rozumi topologie, kdy 
> jsou nektere servery za firewallem pristupne jen pres NAT?

	Plnou IP konektivitu mas tehdy, pokud muzes s jakymkoliv jinym bodem 
Internetu komunikovat jakymkoliv typem IP paketu (proto je to "IP" 
konektivita).

	Pokud toto neplati, pak IP konektivitu nemas. Mozna mas pripojeni, pres 
ktere prochazi nektere typy komunikace - treba odchozi TCP, k nemu 
nejake to ICMP, a jeste DNS - proste - mas k dispozici urcite typi 
pripojeni - ale plnohodnotne pripojeni nemas.

	Coz se napriklad projevuje tim, ze mas problem s pripojenim NFS 
protokolem dovnitr - tento protokol vyzaduje "uplnejsi pripojeni" nez 
mas v dane chvili k dispozici ...

	Jakmile je mezi dvema stroji preklad, nikdy neni pripojeni uplne. 
Nejvic se uplnemu pripojeni blizi preklad 1:1, kdy pro kazdou vnitrni 
adresu mas vyrazenou pevne svazanou adresu vnejsi - ale ani to plna 
konektivita to neni a nektere typy IP komunikace neprojdou bez fatalniho 
poskozeni.

> Ja mam pred firewallem malou kocicku s bindem, ktery zajistuje DNS sluzby do 
> verejneho internetu a za firewallem v DMZ a vnitrni siti ten zbytek.
> Ja jsem chtel vyuzit "sily" mailserveru ke kompilaci portu a na slabem 
> stroji provadet portupgrade pomoci zkompilovanych baliku.

	To je v poradku. Tvuj problem neni DMZ, tvuj problem je preklad 
privatnich adres. Ja nevim, proc ho tam mas, neznam dostatecne mistni 
detaily - ve zkratce receno - nejprirozenejsi, jak zpristupnit verejne 
nejaky server je - mit ho na verejnych adresach. Preba v DMZ a za 
prisnym firewallewm, ale na verejnych adresach.

	Pokud neni mozne pro takovy server takovou adresu zajistit, pak se 
prekladu patrne vyhnout nelze (a v takovou chvili je na miste premyslet 
o zoufalosti) - ale me nepripadalo, ze tohle je ten pripad - me se spis 
zdalo, ze preklad je tam omylem s tim, ze ma zajistovat cosi, co se da 
udelat i bez nej a preklad je tam nedopatrenim navic. Ale fakt neznam 
lokalni podminky ...


> I kdyz se zde zeptat neni moc jasave, presto to jeste zkusim. Co vyuzit VPN 
> a montovat nfs skrz vpn tunel? Nebo mam toto reseni rovnou zavrhnout?

	Ne, to je dobre reseni. Z vety "mame problem s verejnym pristupem na 
server na privatnich adresach" nam zmizne to slovo "verejnym", protoze 
pristupovat se bude v ramci lokalni (virtualni) site.

	V ramci lokalniho pristupu nam pouziti privatniho adresniho prostoru 
nevadi. Server nebude verejne pristupny.

	Jirka Calda uz tu zminoval OpenVPN, coz neni spatna z moznych voleb.


					Dan




-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz





More information about the Users-l mailing list