Gateway/server i hjemme-LAN? (NGT's Router ClarkConnect e.

[Akelbee]

HAR:

- 4 PC-er i LAN med hub

- omsider (se nedenfor) fått ADSL fra NextGenTel

- en ledig Pentium-boks

BEHØVER:

- Sikkerhetsfunksjoner mellom LAN og internett

ØNSKER:

FIl-/Print-/Web-serfunksjoner osv.

 

Har sett henvisninger her i forumet til den spesialiserte "alt-i-ett gateway/server" RedHat baserte Linux-distroen, ClarkConnect, som ser ut til å dekke alle behov og ønsker (www.clarkconnect.org). Jeg vurderer å installere denne (eller noe lignenede, Smoothwall? som jeg ikke har sett på enda) på den ledige PC'en og sette denne mellom og LANet og Cisco-routeren fra NGT. Det er en del ting jeg lurer på i denne forbindelsen:

 

Cisco-routeren fra NGT og gateways som ClarkConnect har til dels noen av de samme funksjonene, slik som brannmur/NAT/Filtre og DHCP. Kan disse i det hele tatt forenes? Bør man da sette routeren helt åpen og la Clark (e.l.) utføre mest mulig av disse funksjonen eller omvendt? (Formoder at hvis man lar begge ha brannmur-funksjoner øker man kanskje sikkerheten, men at man da også lett får trøbbel med å få ut/inn det som vi ønsker skal passere gjennom gateway?) En problemstiling er hvilken konstellasjon som gir enklest vedlikehold/oppgraderinger.

 

Hvis konklusjonen er at Cisco-routeren primært skal gjøre jobben, oppnår man da noe særlig ved i det hele tatt å installere en gateway-funksjon som Clark i nettet?

Særlig lurer jeg på virus-kontroll til et lite hjemme-LAN, hva er sikrest, billigst og mest praktisk: separate installasjoner på hver PC, og/eller en eller annen fellesfunksjon i gateway?

 

Hvis det likevel ikke er noe særlig poeng å ha en egen gateway-PC ut fra sikkerhets-hensyn, bør man da heller sette opp ordinære server-funksjoner i LANet fremmfor f.eks. Clark i gateway "foran" huben? (Fil-/print-servere ligger jo vanligvis ordinært i LANet og ikke på en gateway-maskin, og NAT/filterkontrollen kan vel settes til å sende eksterne forespørsler til web-serveren utelukkende til denne maskinen.)

 

Was nun, kleiner LAN? Takker for svar!

------

 

(Og når det gjelder NextGenTel-leveransen så tok det 3 måneder fra bestilling, men dette skal ikke NGT klandres for. NGT leverte modem etter kort tid, og Bravida stilte opp for å installere i huset i påvente av klargjøring av telenor-sentralen. Men bl.a. viste det seg at selv om det kom en 5-pars-ledning inn i huset, var det bare 2 (opptatte) par i den andre endingen ved koblingsboksen... Dernest manglet det ledninger i nettet, og i neste omgang, etter at vi hadde måttet ty til ISDN-som en temporær løsning, installerte Bravida etter eget utsagn ADSL som ønsket, men koblet faktisk istedet opp en SDSL-forbindelse fra en annen bestilling...)

Det positive er at selv om vi ligger så langt fra sentralen at Telenor sier at ADSL ikkke kan leveres, så suser vi nå ivei med nedlastingshastigheter på mellom 70 og 80. Brave new world!!!!)

[covah]

Dropp ekstra gateway.

 

Kjør heller lokal firewall software og anti-virus på PC'ene du kobler til. Cisco routeren stopper de fleste fjortissene som vil inn på LANet ditt, og den lokale firewall og anti-virus softwaren på PC'ene dine stopper resten.

[KELViN]

Ser at du skriver at du har en ledig pentiumboks :smile:

 

Jeg har ett rimelig likt oppsett som deg med en router utenfor Clarkconnect-gatewayen min og det fungerer utmerket.

 

Gatewayen er en P120 med 32MB ram og den fungerer som firewall i tillegg til å kjøre web-server, mailserver med web-access, ftp, dhcp, printserver ++

 

Om du har en ledig maskin og litt ledig tid anbefaler jeg at du prøver clarkconnect.

 

Forumet på clarkconnect.org er forresten veldig bra.

 

kelv

[Red Dog]

Det du gjør er at du tar en maskin som du ikke bruker og hiver inn Windows 2000 Server og har to nettverkskort i den.. en som går til internett og en til lokal nettet og aktiverer NAT (Network Adress Translator) som er en avansert verisjon av ICS og da får du din Gate Way.. den har Også IIS (Internett Information Service) og installer en pakke fra microsoft som heter "Front Page Server Extension 2002" så får du alle funksjonene i Fontpage XP (2002) til å fungere og sefølgelig er den bakover kompatibel med Frontpage 2000. DHCP kan ogsp konfiguyreres fra samme maskin.. Dette systemet har jeg hjemme, så har du spørsmål om hvordan sette opp disse funksjoene, så kontakt meg på E-Mail: [email protected] har nemmelig tilsvarende prosjekt som jeg skal begynne på gangske snart.. http://red-dog17.myftpsite.net/prosjekt (denne er laget i FP 2002 og histet med min egen server som fortalt over..

 

Hilsen

 

Morten Kiil Finsås

aka. Red Dog

[covah]

Quote:

On 2002-02-09 15:26, Red Dog skrev: Det du gjør er at du tar en maskin som du ikke bruker og hiver inn Windows 2000 Server og har to nettverkskort i den.. en som går til internett og en til lokal nettet og aktiverer NAT (Network Adress Translator) som er en avansert verisjon av ICS og da får du din Gate Way..

 

Hvorfor det? Cisco routeren som følger med NGT har allerede NAT innebygd! Hvorfor skal man NATte en allerede NATtet tjeneste?

 

Det er ingen problemer med å sette opp ftp/web whatever bak Cisco routeren.

[jlianes]

Kjøre NGT ADSL selv og er helt enig med siste innlegg. Drit i egen maskin koble routeren opp mot hub'en og la den ta seg av internet tilgangen selv.

[Akelbee]

Takk for responsene så langt - selv om de ikke akkurat er entydige....

 

Covah, din respons peker mot at brannmur-funksjonaliteten i Cisco-routeren ikke er fullgod. Er det mulig på en enkel måte å angi hva som mangler -- på hvilke områder er de de øvrige (lokalt installerte) brannmurene kan legge noe til brannvegg-funksjonaliteten til routeren?

 

KELViN, du kjører NAT på CC-boksen din. Hva har du gjort med Cisco'en i så henseende? Hvor har du DHCP-tjenesten?

 

jlianes, ja jeg kjører huben rett mot routeren nå, og min tilgang til internet er umerket, men det var det med internets tilgang til meg. Med CC/Snort, kan man f.eks. overvåke hva som foregår, noe man ikke kan gjøre på Cisco-routeren, så vidt jeg vet.

 

[ Denne Melding var redigert av: Akelbee på 2002-02-09 22:14 ]

[KELViN]

Jeg kjører ikke dhcp på cisco-routeren. (Har ikke NGT). Grunnen til at jeg kjører Clarkconnect er for å få firewallfunksjonalitet, webserver, smtpserver ++

 

Dette gjør at jeg slipper å ha firewallfunksjonalitet på pc'ene mine på innsiden pluss at jeg har en maskin som er på hele tiden som jeg har mail/web-serveren på.

 

Du har ikke behov for 2000 med IIS som red dog anbefalte. 2000 Server koster flesk, trenger daglige hotfikser for IIS og krever mye av maskinen. Ergo virker dårlig på din ledige pentiumboks.

 

Clarkconnectgatewayen min har vært oppe i snart ett halvt år uten problemer. Stabil som bare det.

 

Ett pluss er at jeg har lært masse linux i prosessen med å sette opp boksen :smile:

 

kelv

[Akelbee]

KELViN,

Jeg begynner å bli litt forvirret:

 

Se på denne tråden på CC-forumet

http://www.clarkconnect.org/forums/Forum2/...TML/002006.html

Der sier man at det på sett og vis er tull å bruke CC bak en router:

[argon264]

Quote:

On 2002-02-09 15:26, Red Dog skrev: Det du gjør er at du tar en maskin som du ikke bruker og hiver inn Windows 2000 Server og har to nettverkskort i den..

 

Bah. Sette opp en win2000 boks bak en router som allerede filtrerer og NATer? For det første ville jeg aldri i livet brukt W2K og IIS til dette, for det andre er jo boksen redundant.

 

Men clarkconnect stoler jeg på, den kjører på min egen gateway (telenor ADSL). Enkel konfigurasjon, og bånnstabilt system. Der er det enkelt å sette opp ekstra tjenester. Siden den er RH7.2 basert er det også enkelt å installere pakker som ikke følger med cc.

[KELViN]

Jeg ser hva du mener.

 

For meg er det nødvendig med en ekstra gateway da det er offentlige ipadresser på innsiden av routeren jeg er tilknyttet og jeg bare får en ipadresse.

 

Adslmodemet/routeren din gir deg DCHP og NAT. Om du mener at den dekker dine behov for sikkerhet trenger du ikke en CC-Gateway.

 

Men om du vil ha en CC-gateway i tillegg vil den kunne gi deg mye ekstra funskjonalitet; den vil dekke dine behov og ønsker som du skisserte i din første post.

[Akelbee]

Fint KELViN,

Det er den situasjonen du beskriver for deg selv, som jeg også ser for meg at vi i nær fremtid vil ha hos oss, og det er bl.a. derfor CC har virket interessant.

Jeg blir imidlertid litt avskrekket av den kommentaren i CC-forumet, hvor det er snakk om "major reconfigurations" for å få boksen til å virke i et slikt oppsett.

Du omtalte jo som en "positiv tilleggseffekt" at du hadde lært mye Linux. Jeg har ikke i prinsippet noe i mot å lære om Linux - tvert i mot, alt som kan være motkraft til MS er av det gode -- men det tar tid, og jeg synes allerede at jeg bruker for mye tid på noe som egentlig skulle være relativt greit; etablere/drifte et lite hjemme-nett.

Hvis jeg nå bare installerer CC på en boks, for i første omgang å kjøre fil-/print server. Vil det alene kreve mye innsats for å få til bak routeren?

(For så i neste omgang å se på en mer utvidet gateway-funksjon og web-server.)

Bør/kan jeg i på et slikt første stadium, bare sette den inn som en ende-node, eller (for å forenkle viderebyggingen sette den mellom router og hub med en gang?

[Spenol]

Quote:

Bah. Sette opp en win2000 boks bak en router som allerede filtrerer og NATer? For det første ville jeg aldri i livet brukt W2K og IIS til dette, for det andre er jo boksen redundant. Men clarkconnect stoler jeg på, den kjører på min egen gateway (telenor ADSL). Enkel konfigurasjon, og bånnstabilt system. Der er det enkelt å sette opp ekstra tjenester. Siden den er RH7.2 basert er det også enkelt å installere pakker som ikke følger med cc.

 

Redundant? Tror du at trafikkfilterfunksjonen til NGT-routeren er en fullgod brannvegg? Det eneste den gjør er å filtrere trafikk basert på portnumre og ip-adresser (som du må definere manuelt). Den har ingen avanserte funksjoner, som stateful inspection, intrusion detection eller varsling, og den slipper alt igjennom, slik den kommer når du får den.

 

Og si meg, må Windows 2000 nødvendigvis være usikkert når det er beskyttet av en brannvegg? De eneste tjenestene som får lov til å svare hos meg, er Ident, FTP og DCC, og ingen av disse tjenestene er (hos meg)Windows 2000-tjenester. IIS er en annen historie, derimot. Du frykter ikke mye hvis du velger å kjøre IIS (Microsoft Code Red Server 2000). Mer er det ikke å si om det.

[KELViN]

Akelbie, jeg kan ikke skjønne at det skal være noe problem at du har en router på utsiden av gatewayen. Du kan enkelt sette opp boksen til å motta dhcp-adresse på det eksterne nettverkskortet.

 

Det er enkelt å sette opp grunnfunksjonaliteten i CC, jeg for min del lastet ned en bootdisk som koblet seg opp mot clarkconnect.org, dro ned installasjonsfilene og satte opp alt automatisk.

Det eneste du trenger av opplysninger er ip-konfigurasjon og å velge deg et root-passord. Det tar maks 30 min å installere.

 

I utgangspunktet er alle portene stengt i firewallen, men denne konfigurerer du veldig enkelt i web-grensesnittet på boksen.

 

Jeg slet litt med å få mail-server opp og hadde ett par småproblemer med printing, men ingenting som ikke løste seg raskt vha forumet.

 

Lykke til..

 

kelv

[Akelbee]

Ja, KELViN, jeg trodde også at ClarkConnect måtte passe inn i oppsettet, men det var de noe negative merknadene i CC-forumet som fikk meg noe mer i tvil.

Takk, for bistanden, jeg går nå med friskt mot igang med å få satt opp CC på biksen min.

 

(Så hvis jeg bare kan HP Vectra kassa til å boote etter at vi satte inn en ekstra disk og rekonfigurerte IDE (alt ser OK ut i BIOS, men det skjer ikke noe mer), så kan vi få gå løs på å få mine ikke-sertifiserte nettkortdrivere til å virke.....)