Forum » Omrežja in internet » Postavitev strežnika in lokalnega omrežja
Postavitev strežnika in lokalnega omrežja
schtr4jh ::
V kratkem bom postavljal omrežje in strežnik in pojavlja se mi nekaj vprašanj oziroma nejasnosti.
Hardware na voljo:
- 1x strežnik (1x3.0 GHz Quad Core, 4x2 GB rama, 1x300 GB raptor + 4x2 TB diski, 2x1 gbit mrežna ...)
- 1x switch (gigabit, 8 portov)
- 1x router
Zahteve za omrežje:
- uporabniki se lahko povezujejo preko kabla ali brezžično
- strežnik in uporabniki so povezani z gigabitno povezavo
Zahteve za strežnik:
- vsaj 3xVPS (razvojni, produkcijski, testni, ...)
- statičen IP
- nekateri VPS-ji so dostopni samo preko lokalnega omrežja, nekateri tudi globalno
Na strežnik bo nameščen Debian, za virtualizacijo bo poskrbel Xen, za routing med VPS-ji pa reverse proxy Squid.
Teorija:
Na modem se priključita strežnik (eth0) in router. Na switch se priključita router in strežnik (eth1). Uporabniki se povezujejo na router (brezžično) in switch (žično, gigabitno).
Strežnik prejme lokalen IP od routerja (eth1) in globalen statičen IP od modema (eth0).
Router prejme globalen dinamičen IP od modema. Uporabniki v omrežju prejmejo lokalen IP od routerja.
Za globalen dostop VPS-ju dodamo bridged mrežno kartico, ki je povezana na eth0.
Za lokalen dostop VPS-ju dodamo NAT virtualno mrežno kartico, ki je povezana na eth1.
V teoriji ne vidim nobenega problema, zanima pa me, ali bo to v praksi delovalo? Lahko na ta način na vsakem VPS-ju nastavim HTTP na port 80 in HTTPS na 443, promet pa bo pravilno (glede na domeno) preusmeril Squid proxy? Na kak način bi to uredil še za FTP ter ostale storitve (x.com:21 se preusmeri na VPS 1, y.com:21 pa na VPS 2)? Obstaja mogoče kakšna boljša rešitev za dano situacijo?
Hardware na voljo:
- 1x strežnik (1x3.0 GHz Quad Core, 4x2 GB rama, 1x300 GB raptor + 4x2 TB diski, 2x1 gbit mrežna ...)
- 1x switch (gigabit, 8 portov)
- 1x router
Zahteve za omrežje:
- uporabniki se lahko povezujejo preko kabla ali brezžično
- strežnik in uporabniki so povezani z gigabitno povezavo
Zahteve za strežnik:
- vsaj 3xVPS (razvojni, produkcijski, testni, ...)
- statičen IP
- nekateri VPS-ji so dostopni samo preko lokalnega omrežja, nekateri tudi globalno
Na strežnik bo nameščen Debian, za virtualizacijo bo poskrbel Xen, za routing med VPS-ji pa reverse proxy Squid.
Teorija:
Na modem se priključita strežnik (eth0) in router. Na switch se priključita router in strežnik (eth1). Uporabniki se povezujejo na router (brezžično) in switch (žično, gigabitno).
Strežnik prejme lokalen IP od routerja (eth1) in globalen statičen IP od modema (eth0).
Router prejme globalen dinamičen IP od modema. Uporabniki v omrežju prejmejo lokalen IP od routerja.
Za globalen dostop VPS-ju dodamo bridged mrežno kartico, ki je povezana na eth0.
Za lokalen dostop VPS-ju dodamo NAT virtualno mrežno kartico, ki je povezana na eth1.
V teoriji ne vidim nobenega problema, zanima pa me, ali bo to v praksi delovalo? Lahko na ta način na vsakem VPS-ju nastavim HTTP na port 80 in HTTPS na 443, promet pa bo pravilno (glede na domeno) preusmeril Squid proxy? Na kak način bi to uredil še za FTP ter ostale storitve (x.com:21 se preusmeri na VPS 1, y.com:21 pa na VPS 2)? Obstaja mogoče kakšna boljša rešitev za dano situacijo?
E-commerce & Marketing platform - comms.dev
- spremenil: schtr4jh ()
MrBrdo ::
Če lah dobiš 3 IPje pol ti bo dosti lažje, ne boš rabil proxyja, samo DNS strežnik tako skonfiguriraš, da ti dela load balancing. Drugače pa ne vem za FTP če obstaja tudi tak proxy, verjetno bi se kaj našlo, bi moral mal pogooglat. Če rabiš toliko strežnikov bi si verjetno lahko privoščil več IP naslovov 
Malo vprašaj ISPja. Sigurno ti bo dosti olajšalo zadevo in tudi ne boš imel ful loada na proxyju, ker ga ne boš rabil.
Malo vprašaj ISPja. Sigurno ti bo dosti olajšalo zadevo in tudi ne boš imel ful loada na proxyju, ker ga ne boš rabil. MrBrdo
NoName ::
ne štekam čist... a bojo VPSji bridgani al routani do LAN in WAN omrežja? napisal si, da se lahko odjemalci (predvidevam, da iz LAN omrežja) povezujejo tudi brezžično, kje je AP? js osebni bi uporabil nginx namesto squida. gre to za navadne HTTP/FTP servise al še kaj druga?
FTP in virtualni hostnamei kot je to v primeru HTTPja? Dvomim, ker za HTTP je zadeva pretty much straightforward, v samem HTTP requestu strežnik vidi "GET / HTTP/1.1\r\nHost: www.foo.com\r\n\r\n", tudi pri HTTPS z modernimi browserji (SNI), v primeru FTPja pa poteka komunikacija mal drgač
220 FTPD
USER jst
331 Password?
PASS jstovogeslo
230 OK
hence, ni nikjer indikacije, na kater host se želi odjemalec povezat.
če lahko pridobiš večje število IP naslovov ali morebiti celo subnet, toliko bolje...
schtr4jh.. se midva od kod poznava?
FTP in virtualni hostnamei kot je to v primeru HTTPja? Dvomim, ker za HTTP je zadeva pretty much straightforward, v samem HTTP requestu strežnik vidi "GET / HTTP/1.1\r\nHost: www.foo.com\r\n\r\n", tudi pri HTTPS z modernimi browserji (SNI), v primeru FTPja pa poteka komunikacija mal drgač
220 FTPD
USER jst
331 Password?
PASS jstovogeslo
230 OK
hence, ni nikjer indikacije, na kater host se želi odjemalec povezat.
če lahko pridobiš večje število IP naslovov ali morebiti celo subnet, toliko bolje...
schtr4jh.. se midva od kod poznava?
I can see dumb people...They're all around us... Look, they're even on this forum!
schtr4jh ::
@MrBrdo ... Če bi lahko dobil več IP-jev se rešim tisoč in enega problema ... Tako pa sem omejen na 1 statiko in 2 dinamiki.
@NoName ... Slika omrežja: modem-router-switch-(eth1)server(eth0)-modem (isti modem, kot na začetku). Laptopi se priklučijo na router, stacionarni računalniki na switch. Če dostopam do serverja globalno, promet poteka po povezavi modem-router. Če dostopam iz lokalnega omrežja, promet poteka po povezavi računalnik-switch-server oziroma računalnik-router-switch-server. Nikakor pa ne sme potekat računalnik-switch-router-switch-server (glede na to, da ima switch pa ARP tabelo, do tega sploh ne bi smelo priti).
Za dostop preko lokalnega omrežja se na VPS-ju uporablja virtualna mrežna kartica, tipa NAT, povezava poteka preko eth1. Za globalen dostop se uporablja bridged virtualna kartica in povezava poteka preko eth0. VPS dobi glede na zahteve za dostop eno, drugo ali pa obe.
Glede servisov ... Šlo bo za HTTP/HTTPS, FTP, SSH, redko p2p/bittorrent. Načeloma mi je važno samo, da je lahko na vseh VPS-jih HTTP dostopen preko porta 80 in to bi naj rešil z Squidom. Servirane pa bodo večinoma dinamične vsebine, zato je tu nginx rahlo v ozadju (razen, če lahko Apache in nginx hkrati poslušata na portu 80 in nginx prevzame serviranje statičnih datotek). Za FTP port mi je drugače popolnoma vseeno ali deluje na portu 21 ali pa na 65123. =)
Kot sem napisal, omejen sem na 3 IP naslove. Pogovarjal sem se že z Botrom (no, da odgovorim na zadnje vprašanje - se poznamo, ja =)), ki bo baje uredil IPv6 /64 subnet, ampak ideja o IPv6 only mi ni všeč (glede na trenuten tempo razvoja se bo IPv6 masovno začel uporabljat čez 15 let =)).
Dodano: lahko, da bomo v prihodnje na ta strežnik dodali še kak VPS, zato potrebujem rešitev glede IP naslovov in naslavlanja.
@NoName ... Slika omrežja: modem-router-switch-(eth1)server(eth0)-modem (isti modem, kot na začetku). Laptopi se priklučijo na router, stacionarni računalniki na switch. Če dostopam do serverja globalno, promet poteka po povezavi modem-router. Če dostopam iz lokalnega omrežja, promet poteka po povezavi računalnik-switch-server oziroma računalnik-router-switch-server. Nikakor pa ne sme potekat računalnik-switch-router-switch-server (glede na to, da ima switch pa ARP tabelo, do tega sploh ne bi smelo priti).
Za dostop preko lokalnega omrežja se na VPS-ju uporablja virtualna mrežna kartica, tipa NAT, povezava poteka preko eth1. Za globalen dostop se uporablja bridged virtualna kartica in povezava poteka preko eth0. VPS dobi glede na zahteve za dostop eno, drugo ali pa obe.
Glede servisov ... Šlo bo za HTTP/HTTPS, FTP, SSH, redko p2p/bittorrent. Načeloma mi je važno samo, da je lahko na vseh VPS-jih HTTP dostopen preko porta 80 in to bi naj rešil z Squidom. Servirane pa bodo večinoma dinamične vsebine, zato je tu nginx rahlo v ozadju (razen, če lahko Apache in nginx hkrati poslušata na portu 80 in nginx prevzame serviranje statičnih datotek). Za FTP port mi je drugače popolnoma vseeno ali deluje na portu 21 ali pa na 65123. =)
Kot sem napisal, omejen sem na 3 IP naslove. Pogovarjal sem se že z Botrom (no, da odgovorim na zadnje vprašanje - se poznamo, ja =)), ki bo baje uredil IPv6 /64 subnet, ampak ideja o IPv6 only mi ni všeč (glede na trenuten tempo razvoja se bo IPv6 masovno začel uporabljat čez 15 let =)).
Dodano: lahko, da bomo v prihodnje na ta strežnik dodali še kak VPS, zato potrebujem rešitev glede IP naslovov in naslavlanja.
E-commerce & Marketing platform - comms.dev
Zgodovina sprememb…
- spremenil: schtr4jh ()
NoName ::
switch je layer2 device in pozna le mac naslove, če bo, torej bi v tvojem primeru najverjetnej router izvajal routanje... če bo odjemalec dobil ip naslov 192.168.0.123 in bo povezan preko WLANa, želel bo pa obiskati spletno stran www.domena1.com, le-ta pa se bo razrešila v zunanji ip naslov (recimo 193.1.2.3), potem bo do tega hosta prišel preko routerja, če pa bo 193.1.2.3 dejansko nek squid, bo potem *squid* pogledal sam HTTP request in potem bo le-ta z novim requestom prišel do pravega virtualnega strežnika, ki domuje na 192.168.0.2, ki bo odgovor vrnil squidu, le-ta pa ga bo posredoval odjemalcu, če pa se bo IP naslov od www.domena1.com razrešil v 192.168.0.2, bo odjemalec potem sam vzpostavil povezavo do dejanskega VPSja... predpostavimo, da sta odjemalec in strežnik v istem subnetu, torej 192.168/24. podobno v primeru LAN povezljivosti odjemalca.
nginx je dejansko tudi zlo dober http proxy (pa tudi mail proxy) in ne le servis za statične http datoteke, zato potreba po uporabi squida odpade, ki je verjetno malce preveč bulky...
omejen si na tri ip naslove, pa boter ti bi pomagal /64 subnet dobit... torej veva za katerega ponudnika gre... pošlji ti mail na ipv6@domenatvojegaponudnika, pa boš dobu subnet verjetno že danes, najverjetnej boš potreboval routan ipv6 subnet in ne stateless... če si poslovni uporabnik, pa lahko takoalitako dobiš /56 subnet :) aja, pa če si na DSL, boš mogu še mal štrikat z vpisovanjem statičnih neighbourjev...
če si poslovni uporabnik, izpolni RIPE obrazec pa dobiš subnet v ipv4 in se s tem izogneš vsem napisanim komplikacijam.
nginx je dejansko tudi zlo dober http proxy (pa tudi mail proxy) in ne le servis za statične http datoteke, zato potreba po uporabi squida odpade, ki je verjetno malce preveč bulky...
omejen si na tri ip naslove, pa boter ti bi pomagal /64 subnet dobit... torej veva za katerega ponudnika gre... pošlji ti mail na ipv6@domenatvojegaponudnika, pa boš dobu subnet verjetno že danes, najverjetnej boš potreboval routan ipv6 subnet in ne stateless... če si poslovni uporabnik, pa lahko takoalitako dobiš /56 subnet :) aja, pa če si na DSL, boš mogu še mal štrikat z vpisovanjem statičnih neighbourjev...
če si poslovni uporabnik, izpolni RIPE obrazec pa dobiš subnet v ipv4 in se s tem izogneš vsem napisanim komplikacijam.
I can see dumb people...They're all around us... Look, they're even on this forum!
schtr4jh ::
Vem, da je switch deluje na 2. layerju in da ima ARP tabelo. Itak pa dobi vsaka virtualna mrežna svoj MAC naslov.
Za dostop do domene preko lokalnega omrežja bom ročno nastavil te domene v hosts fajlu odjemalca. Lahko pa bi res postavil DNS strežnik. Pomeni, da je routanje preko lokalnega omrežja na ta način (host fajli ali DSN strežnik) rešeno. Prvi paket LAN requesta bo tako potekal po poti odjemalec-switch-router-switch-strežnik in tukaj si switch v ARP tabelo zapiše MAC naslove o odjemalcu in strežniku. Kasneje promet poteka po poti odjemalec-switch-strežnik, ker je tu povezava cenejša. Za WLAN je pa logično, da bo promet vedno potekal odjemalec-router-switch-strežnik. Se strinjaš?
Z nginxom dejansko nimam izkušenj, vem pa, da je top za serviranje statičnih datotek. Torej bi lahko služil enako, kot squid? Če prav razumem, ga namestim na strežnik (tako kot squid), na VPS-jih pa je še vedno Apache? In nato ga lahko nastavim tako, da bo domena.com preusmeril na VPS1, domena.com na VPS2, privzeto pa na VPS3? In performance bo boljši, kot s squiduom? Govorim za HTTP(S) promet. In s tem je problem glede globalnega routanja rešen?
No, ta IPv6 subnet bom potreboval nekje konec tega tedna, oziroma v začetku naslednjega. Ni DSL, ampak je optika (končno :D). Ali obstaja možnost, da kot zasebni uporabnik dobim IPv4/29? Recimo, da bi kot razlog navedel izobraževalne namene? S 3 IP-ji bi lahko trenutno ustvaril 1 VPS - ostane še IP za strežnik in IP za router.
Za dostop do domene preko lokalnega omrežja bom ročno nastavil te domene v hosts fajlu odjemalca. Lahko pa bi res postavil DNS strežnik. Pomeni, da je routanje preko lokalnega omrežja na ta način (host fajli ali DSN strežnik) rešeno. Prvi paket LAN requesta bo tako potekal po poti odjemalec-switch-router-switch-strežnik in tukaj si switch v ARP tabelo zapiše MAC naslove o odjemalcu in strežniku. Kasneje promet poteka po poti odjemalec-switch-strežnik, ker je tu povezava cenejša. Za WLAN je pa logično, da bo promet vedno potekal odjemalec-router-switch-strežnik. Se strinjaš?
Z nginxom dejansko nimam izkušenj, vem pa, da je top za serviranje statičnih datotek. Torej bi lahko služil enako, kot squid? Če prav razumem, ga namestim na strežnik (tako kot squid), na VPS-jih pa je še vedno Apache? In nato ga lahko nastavim tako, da bo domena.com preusmeril na VPS1, domena.com na VPS2, privzeto pa na VPS3? In performance bo boljši, kot s squiduom? Govorim za HTTP(S) promet. In s tem je problem glede globalnega routanja rešen?
No, ta IPv6 subnet bom potreboval nekje konec tega tedna, oziroma v začetku naslednjega. Ni DSL, ampak je optika (končno :D). Ali obstaja možnost, da kot zasebni uporabnik dobim IPv4/29? Recimo, da bi kot razlog navedel izobraževalne namene? S 3 IP-ji bi lahko trenutno ustvaril 1 VPS - ostane še IP za strežnik in IP za router.
E-commerce & Marketing platform - comms.dev
NoName ::
če boš statično popravljal hosts file vsakega posameznega odjemalca, bo le-tega sila težko vzdrževat, sploh, ker ne govorimo o enem samem pcu... kakrkol.. dns ni tak težko postavit, če nisi vešč binda/unbounda, se lahko poigraš tudi z dnsmasq, ki, mislim, da z -A argumentom vrača statične IPje... seveda morš DHCPju dopovedat, da bo vsem odjemalcem postregel pravi DNS, če je potrebno, pa lahko s kakimi zabavnimi pravili za požarni zid na usmerjevalniku preusmeriš ves DNS promet na omenjen DNS strežnik... tudi, če ima odjemalec statično nastavljen recimo 8.8.8.8.
ja, nginx/squid kot proxy, apache pa za http servis na VPSjih, lahko pa uporabiš sam apache za proxy, to je like.. 10 vrstic...
ne, zasebni uporabnik lahko dobi le nekaj statičnih ipjev. res nebi spremenil rezidenčni paket v poslovnega? bi si prišparal kar nekaj dela in resursov... v tistem mailu na ipv6@ ali pa botru, navedi vse naročniške podatke ter zaprosi za routan subnet velikosti /56, tle se da naredit kako izjemo v izobraževalne namene, saj jih po mojem ne bo tak hitro zmanjkalo.. pa dobiš /126 povezovalni segment ter /56 subnet, ki ga lahko mirne duše razpalceliraš naprej po /64... pa imaš enega za virtualce, drugega za enkaj druga, in tako naprej...
vsekakor se pa drži načela KISS
ja, nginx/squid kot proxy, apache pa za http servis na VPSjih, lahko pa uporabiš sam apache za proxy, to je like.. 10 vrstic...
ne, zasebni uporabnik lahko dobi le nekaj statičnih ipjev. res nebi spremenil rezidenčni paket v poslovnega? bi si prišparal kar nekaj dela in resursov... v tistem mailu na ipv6@ ali pa botru, navedi vse naročniške podatke ter zaprosi za routan subnet velikosti /56, tle se da naredit kako izjemo v izobraževalne namene, saj jih po mojem ne bo tak hitro zmanjkalo.. pa dobiš /126 povezovalni segment ter /56 subnet, ki ga lahko mirne duše razpalceliraš naprej po /64... pa imaš enega za virtualce, drugega za enkaj druga, in tako naprej...
vsekakor se pa drži načela KISS
I can see dumb people...They're all around us... Look, they're even on this forum!
schtr4jh ::
V omrežju bodo max 3 uporabniki, ki bodo potrebovali lokalen dostop do strežnika. Z dnsmasq na routerju (ddwrt) lahko torej preusmerjam lokalen HTTP promet glede na domeno kljub temu, da ima uporabnik nastavljene druge DNS-je?
Kul, bom pogledu dokumentacijo in primerjavo med apache in nginx, če se uporabljata kot proxy.
Da postanem poslovni uporabnik zaenkrat ne pride v poštev,
Kul, bom pogledu dokumentacijo in primerjavo med apache in nginx, če se uporabljata kot proxy.
Da postanem poslovni uporabnik zaenkrat ne pride v poštev,
E-commerce & Marketing platform - comms.dev
NoName ::
dnsmasq omogoča marsikaj...
več tukaj
uporabnike pa lahko vržeš 'na finto' s kakim packet manglingom v iptablesu, ako že uporabljaš dd-wrt... za pomoč pri vzpostavitvi si lahko pomagaš z googlanjem "iptables transparent proxy", nato pa namesto tcp portov 80 ter 3128 uporabiš kar udp in tcp 53 za source in target...
-H, --addn-hosts=<file>
Additional hosts file. Read the specified file as well as /etc/hosts. If -h is given, read only the specified file. This option may be repeated for more than one additional hosts file. If a directory is given, then read all the files contained in that directory.
-A, --address=/<domain>/[domain/]<ipaddr>
Specify an IP address to return for any host in the given domains. Queries in the domains are never forwarded and always replied to with the specified IP address which may be IPv4 or IPv6. To give both IPv4 and IPv6 addresses for a domain, use repeated -A flags. Note that /etc/hosts and DHCP leases override this for individual names. A common use of this is to redirect the entire doubleclick.net domain to some friendly local web server to avoid banner ads. The domain specification works in the same was as for --server, with the additional facility that /#/ matches any domain. Thus --address=/#/1.2.3.4 will always return 1.2.3.4 for any query not answered from /etc/hosts or DHCP and not sent to an upstream nameserver by a more specific --server directive.
več tukaj
uporabnike pa lahko vržeš 'na finto' s kakim packet manglingom v iptablesu, ako že uporabljaš dd-wrt... za pomoč pri vzpostavitvi si lahko pomagaš z googlanjem "iptables transparent proxy", nato pa namesto tcp portov 80 ter 3128 uporabiš kar udp in tcp 53 za source in target...
I can see dumb people...They're all around us... Look, they're even on this forum!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | "Port scan" stanje na IPv4 omrežju (strani: 1 2 )Oddelek: Omrežja in internet | 9570 (8490) | AštiriL |
| » | Več IP naslovovOddelek: Omrežja in internet | 7083 (6097) | Bakunin |
| » | ubuntu + network sharingOddelek: Pomoč in nasveti | 1265 (1129) | NeMeTko |
| » | par osnovnih vprašanj o IPv6Oddelek: Omrežja in internet | 4864 (3883) | x.sci |
| » | ipv6, kaj točno bom moral menjati?Oddelek: Omrežja in internet | 10610 (9420) | JanZorz_go6 |