nfs pres firewall
Dan Lukes
dan at obluda.cz
Fri Sep 15 15:38:13 CEST 2006
Pavel Hlubík napsal/wrote, On 09/15/06 14:45:
>>Ale neodpustim si poznamku, ze mit server, ktery ma byt dostupny "z
>>venku" na neverejne adrese je pekna cunarna.
>
> V mem pripade se jedna o mailserver. Nedam za to ruku do ohne, ale mit
> servery v DMZ, ktere jsou mj. i verejne dostupne, je snad spravne? Nebo je
> to opravdu cunarna?
Mit servery v DMZ je v poradku. Ale DMZ neni "misto s privatnimi
adresami, odkud se ven leze pres preklad". Standardne by DMS obsahujici
verejne dostupne servery mela mit normalni verejne dostupne adresy (tim
netvrdim, ze neexistuje zadna situace, kdy je preklad rozumny, jen
rikam, ze standardni reseni je jine).
> Ale ja mam konektivitu. Nebo se obecne nekonektivitou rozumi topologie, kdy
> jsou nektere servery za firewallem pristupne jen pres NAT?
Plnou IP konektivitu mas tehdy, pokud muzes s jakymkoliv jinym bodem
Internetu komunikovat jakymkoliv typem IP paketu (proto je to "IP"
konektivita).
Pokud toto neplati, pak IP konektivitu nemas. Mozna mas pripojeni, pres
ktere prochazi nektere typy komunikace - treba odchozi TCP, k nemu
nejake to ICMP, a jeste DNS - proste - mas k dispozici urcite typi
pripojeni - ale plnohodnotne pripojeni nemas.
Coz se napriklad projevuje tim, ze mas problem s pripojenim NFS
protokolem dovnitr - tento protokol vyzaduje "uplnejsi pripojeni" nez
mas v dane chvili k dispozici ...
Jakmile je mezi dvema stroji preklad, nikdy neni pripojeni uplne.
Nejvic se uplnemu pripojeni blizi preklad 1:1, kdy pro kazdou vnitrni
adresu mas vyrazenou pevne svazanou adresu vnejsi - ale ani to plna
konektivita to neni a nektere typy IP komunikace neprojdou bez fatalniho
poskozeni.
> Ja mam pred firewallem malou kocicku s bindem, ktery zajistuje DNS sluzby do
> verejneho internetu a za firewallem v DMZ a vnitrni siti ten zbytek.
> Ja jsem chtel vyuzit "sily" mailserveru ke kompilaci portu a na slabem
> stroji provadet portupgrade pomoci zkompilovanych baliku.
To je v poradku. Tvuj problem neni DMZ, tvuj problem je preklad
privatnich adres. Ja nevim, proc ho tam mas, neznam dostatecne mistni
detaily - ve zkratce receno - nejprirozenejsi, jak zpristupnit verejne
nejaky server je - mit ho na verejnych adresach. Preba v DMZ a za
prisnym firewallewm, ale na verejnych adresach.
Pokud neni mozne pro takovy server takovou adresu zajistit, pak se
prekladu patrne vyhnout nelze (a v takovou chvili je na miste premyslet
o zoufalosti) - ale me nepripadalo, ze tohle je ten pripad - me se spis
zdalo, ze preklad je tam omylem s tim, ze ma zajistovat cosi, co se da
udelat i bez nej a preklad je tam nedopatrenim navic. Ale fakt neznam
lokalni podminky ...
> I kdyz se zde zeptat neni moc jasave, presto to jeste zkusim. Co vyuzit VPN
> a montovat nfs skrz vpn tunel? Nebo mam toto reseni rovnou zavrhnout?
Ne, to je dobre reseni. Z vety "mame problem s verejnym pristupem na
server na privatnich adresach" nam zmizne to slovo "verejnym", protoze
pristupovat se bude v ramci lokalni (virtualni) site.
V ramci lokalniho pristupu nam pouziti privatniho adresniho prostoru
nevadi. Server nebude verejne pristupny.
Jirka Calda uz tu zminoval OpenVPN, coz neni spatna z moznych voleb.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list