RE: Problem mit Suse schoolserver1 (Firewall/Routing)
-----Original Message----- From: Frank Gerd Walzebuck [mailto:fwalzebuck@sydios.de] Sent: Tuesday, June 28, 2005 10:54 AM To: suse-linux@suse.com Subject: Re: Problem mit Suse schoolserver1 (Firewall/Routing)
Tach Ralf,
192.168.2.x = Windowskisten 192.168.0.2 & 3 & 4 & = der Schulserver. Das klappt soweit auch wobei mir noch nicht klar ist wo vom 2.x Netz auf das 0.x Netz umgesetzt wird.
Gar nicht. Der Schulserver ist so konzipiert, daß er nicht routet.
Jetzt soll ein Rechner 192.168.0.6 zusätzlich ins Netz kommen der als Router/ Firewall funktioniert.
Prima, habe ich auch so.
Das Problem. Vom Suseserver erreiche ich per ping diesen Rechner aber von den Windowsrechner aus geht es nicht.
Warum sollten die Windowskisten Deinen Router erreichen? Für sie ist der Schulserver das Defaultgateway und damit gut. Den Rest macht der Schulserver per Proxy.
Die Lehrer sollten am Router über eine Weboberfläche von ihrem LehrerPC 8der aber im .1.x Netz ist) die Verbindung auf und abbauen können. Ausserdem sollen auf dem Router zusätzliche Filter etc. verwendet werden. Ich schau mal: Wenn ich den Schulserver nicht zum routen bekomme setzt ich einen alten PC als AdminPC im 192.168.0.x Netz ein. Der könnte dann remote auch noch diverse andere Server bedienen. Gruß
Tach Ralf,
Die Lehrer sollten am Router über eine Weboberfläche von ihrem LehrerPC 8der aber im .1.x Netz ist) die Verbindung auf und abbauen können. Ausserdem sollen auf dem Router zusätzliche Filter etc. verwendet werden.
Verstehe ich Dich recht, die Lehrer sollen den Internetzugang beeinflussen können? Diese Funktion ist doch im Schulserver bereits eingebaut. Fuktioniert prima! Walze. -- Frank G. Walzebuck
Frank Gerd Walzebuck wrote:
Verstehe ich Dich recht, die Lehrer sollen den Internetzugang beeinflussen können? Diese Funktion ist doch im Schulserver bereits eingebaut. Fuktioniert prima!
Aus divesen Gründen muß der Internetzugang vom Schulserver entkoppelt werden. Es stehen Themen wie eine DMZ und VPN im Raum. Ausserdem bin ich nicht wirklich glücklich mit Nutzdaten auf einem System das fürs Internet zuständig ist. Letzters ist aber sicher beliebig diskutierbar. Gruß
Tach Ralf,
Aus divesen Gründen muß der Internetzugang vom Schulserver entkoppelt werden.
Aha...
Es stehen Themen wie eine DMZ und VPN im Raum. Ausserdem bin ich nicht wirklich glücklich mit Nutzdaten auf einem System das fürs Internet zuständig ist. Letzters ist aber sicher beliebig diskutierbar.
Ich habe als Router einen IPCop im Einsatz, der mir DMZ und VPN realisiert. Damit steht mein Schulserver mit den Schülerdaten nicht mehr im Internet. Und ich gebe Dir recht und würde da auch nie drüber diskutieren - diese Daten gehören nicht auf eine Maschine, die mit einem Bein im Web steht. Walze.
Frank Gerd Walzebuck wrote:
Ich habe als Router einen IPCop im Einsatz, der mir DMZ und VPN realisiert. Damit steht mein Schulserver mit den Schülerdaten nicht mehr im Internet. Und ich gebe Dir recht und würde da auch nie drüber diskutieren - diese Daten gehören nicht auf eine Maschine, die mit einem Bein im Web steht.
Ipcop wird es hier auch werden. Frage: Wie kommst du an das Ipcop-Webinterface heran? Aus den internen Netzen 1.x etc. ist zumindestens hier kein Zugriff möglich da der Schulserver nicht routet (was wie ich mittlerweile gelernt habe auch beabsichtigt ist). Eigenes Adminsystem im im .0.x Netzwerksegment? Oder vom Schulserver herüber browsen? Gruß
Hi Ralf,
Ipcop wird es hier auch werden.
Prima Entscheidung; kann ich nur empfehlen.
Frage: Wie kommst du an das Ipcop-Webinterface heran? Aus den internen Netzen 1.x etc. ist zumindestens hier kein Zugriff möglich da der Schulserver nicht routet (was wie ich mittlerweile gelernt habe auch beabsichtigt ist). Eigenes Adminsystem im im .0.x Netzwerksegment? Oder vom Schulserver herüber browsen?
Nunja, Möglichkeiten gibt es da sicherlich genügend. Da ich immer noch nicht so richtig begriffen habe, was Du da und warum abklemmen möchtest, ein Schuß ins Blaue: Ich lasse niemenden, außer die Admin-Lehrer, an die Firewall. Sie nehmen den Weg über den Schulserver, oder über einen der Etagenserver, die in den großen Kabinetten stehen und auch im Servernetz (192.168.0.0) angebunden sind. Weiterhin wäre es möglich, auf das Admin-Interface via SSH-Tunnel über den Schulserver zuzugreifen. Scheint mir zumindest am sichersten. Walze.
Frank Gerd Walzebuck wrote: Blaue:
Ich lasse niemenden, außer die Admin-Lehrer, an die Firewall. Sie nehmen den Weg über den Schulserver, oder über einen der Etagenserver, die in den großen Kabinetten stehen und auch im Servernetz (192.168.0.0) angebunden sind.
Ok, letzters ist klar aber was verstehst du unter "Weg über den Schulserver". Hier ist folgendes Problem vorhanden. Im 172.16.1.X Netz gibt es einen Lehrer-PC und Schüler-PCs. Die Überlegung war das der Lehrer via Browser vom Lehrer-PC das Webinterface von IPCop erreichen können. Das geht zur Zeit definitiv nicht da der Schulserver das abblockt. Gruß.
Hi Ralf,
letzters ist klar aber was verstehst du unter "Weg über den Schulserver".
Na janz einfach: ransetzen! ;-)
Hier ist folgendes Problem vorhanden. Im 172.16.1.X Netz gibt es einen Lehrer-PC und Schüler-PCs.
[STUTZ] Ich denke Dein Netz heißt 192.168.0.0?
Die Überlegung war das der Lehrer via Browser vom Lehrer-PC das Webinterface von IPCop erreichen können. Das geht zur Zeit definitiv nicht da der Schulserver das abblockt.
Naja, Ziel verstanden. Ich denke, daß es nicht der Schulserver ist, der da blockt. Die Netze passen nicht zusammen. Ich empfehle wärmstens, auf dem Schulserver einen SSH-Tunnel zum Router zu etablieren. Walze.
Frank Gerd Walzebuck wrote:
Hi Ralf,
letzters ist klar aber was verstehst du unter "Weg über den Schulserver".
Na janz einfach: ransetzen! ;-)
Ok, das ist deutlich.
Hier ist folgendes Problem vorhanden. Im 172.16.1.X Netz gibt es einen Lehrer-PC und Schüler-PCs.
[STUTZ] Ich denke Dein Netz heißt 192.168.0.0?
Ich bin mit meinen Beispielen durcheinander gekommen. ;-) Der Tag war lang. Gruß
participants (3)
-
Frank Gerd Walzebuck
-
Prengel, Ralf
-
Ralf Prengel