Как настроить ADSL (pppoe)

[Drool]

Комп доступен снаружи без лишней головной боли.

Удачи

[МШ]

Создали проблему из ничего.
У меня сейчас модем подключен к одной сетевой, на компе настроен пппое

да действительно из ничего. можно и модем настроить как pppoe, тем более если он безлимитный.

А потом "мучаться" с настройкой пробрасывания портов? Не говоря о переписывании уже рабочих конфигов. Плюс дополнительные телодвижения, когда захочется какой-нибудь еще порт открыть на основном компе.

[МШ]

Комп доступен снаружи без лишней головной боли.

Удачи

Что вы хотите этим сказать? Чем глобально отличается комп, где закрыты все порты, кроме разрешенных от варианта, где разрешенные порты мапятся через модем?

[klark973]

Павел, после смены прошивки модем стал другим. Вот русскоязычный мануал. См. начиная со стр. 48 (контроль доступа) и начиная со стр. 28 (виртуальный сервер). Судя по ману, боюсь, на внешнем интерфейсе порты 80 и 21 уже заняты и данная прошивка не позволяет это переопределить. Другие порты перебрасывать можно. А вот скрины: [1], [2] и [3], о которых говорит Drool. Резюме такое: если конфликт по портам 80, 21 не даст их пробрасывать внутрь LAN, значит - НИКАК. :(

[klark973]

Комп доступен снаружи без лишней головной боли.

Удачи

Что вы хотите этим сказать? Чем глобально отличается комп, где закрыты все порты, кроме разрешенных от варианта, где разрешенные порты мапятся через модем?

В большинстве случаев мапить ничего не нужно. Для клиентских программ, нуждающихся в этом, есть UPnP. Это не киски за 15 тыс$ уровня провайдеров. Это железо за ~ $40, предназначенное для защиты клиентов в LAN, но не серверов. Если написано "SOHO", отлично - юзаем DMZ и тогда это снова ничем не отличается. Но выставлять клиента с голым задом в инет нет смысла так же, как и превращать домашний (офисный) комп в хост площадку на 10 серверов.

[МШ]

Но выставлять клиента с голым задом в инет нет смысла

Кто говорил про "голым задом в инет"?

как и превращать домашний (офисный) комп в хост площадку на 10 серверов.

А на один сервер можно? ;)
Просто с 1го числа безлимит полмегабита - думаю какую-нибудь страничку забацать "чисто для себя".

ЗЫ Давайте лучше, кстати, обсудим проблему безопасности в другой ветке:
http://forum.altlinux.org/index.php/topic,233.0.html

Там заодно и мой iptables есть. Критикуйте (мне, кстати, действительно интересно мнение специалистов).

[klark973]

Но выставлять клиента с голым задом в инет нет смысла

Кто говорил про "голым задом в инет"?

Это было ответом на этот вопрос:

Чем глобально отличается комп, где закрыты все порты, кроме разрешенных от варианта

Обычно в LAN сидят виндовые клиенты, а если сами можете качественно настроить iptables, то и такая железка вам не нужна совсем, ибо в ней - тот же самый iptables, но без возможности определения правил, завязанных на uid/gid локальных процессов. :)

как и превращать домашний (офисный) комп в хост площадку на 10 серверов.

А на один сервер можно? ;)

Нельзя ни на один. И уж тем более - на 10! Многолетний опыт подтверждает, что даже у очень грамотного админа FreeBSD простои виртуального или почтового сервера больше, чем у среднего провайдера. И если рано или поздно админ сам это не поймёт, то скорее это дойдёт до его клиентов.

Но здесь иной лейтмотив: данная железка (DLink 2500U) предназначена для других целей. Желаем стать провайдером? Тогда стоит подумать об организации своего дата-центра... :D

ЗЫ Давайте лучше, кстати, обсудим проблему безопасности в другой ветке:

Там заодно и мой iptables есть. Критикуйте (мне, кстати, действительно интересно мнение специалистов).

[offtop]
Мну не спец по iptables. И флудить на форуме по ALT Linux о его безопасности не могу, потому что во-первых, не специалист по безопасности, во-вторых, значительно хуже представляю работу iptables в сравнении с FreeBSD IPFW, в-третьих, не имею пока установленного ALT Linux и в-четвёртых, предлагаю ограничиться статистикой, которая говорит о преобладании FreeBSD-серверов во всей Интернет-инфраструктуре. ИМХО, Linux - больше возможностей, но надёжность сетевого стека за FreeBSD.

Что касается решений, подобных ip_conntrack_ftp, никогда не считал их правильными и надёжными. Такие патчи ядра здорово противоречат принципам инкапсуляции сетевого стека. И предпочитал решать данную конкретную задачу иным, более правильным на мой взгляд способом. Хотя это было во FreeBSD, в Linux-е такой же путь доступен. Используйте, например, связку сквида с фроксом на самом Интернет-шлюзе/проксЕ или просто фрокс в качестве FTP-proxy.
[/offtop]

[Drool]

Что вы хотите этим сказать? Чем глобально отличается комп, где закрыты все порты, кроме разрешенных от варианта, где разрешенные порты мапятся через модем?

Вы рекомендуете Павлу открыть комп голой задницей в сеть/инет и засесть за изучение iptables? Если бы он был в курсе этого - этого типика не было бы. Вы ушли от изначальной темы, и прилепили сюда свои познания в сетевой безопасности. Вы умеете гарантированно позакрывать все, что лишнее и потенциально несет угрозу на своей домшней площадке в 10 серверов? В таком случае Вам вообще этот топик не должен быть интересен.

[МШ]

Это было ответом на этот вопрос:

Чем глобально отличается комп, где закрыты все порты, кроме разрешенных от варианта

Обычно в LAN сидят виндовые клиенты, а если сами можете качественно настроить iptables, то и такая железка вам не нужна совсем, ибо в ней - тот же самый iptables, но без возможности определения правил, завязанных на uid/gid локальных процессов. :)

Ну так здесь и получается: мой комп торчит в инет, на нем закрыты лишние порты (через тот же iptables) и трафик раздается по сети.

Нельзя ни на один. И уж тем более - на 10! Многолетний опыт подтверждает, что даже у очень грамотного админа FreeBSD простои виртуального или почтового сервера больше, чем у среднего провайдера. И если рано или поздно админ сам это не поймёт, то скорее это дойдёт до его клиентов.

Зависит от задач "сервера". Если это просто домашняя страничка Васи Пупкина, то сколько он дней пробудет в дауне - для большинства не важно (в т.ч. для самого Васи Пупкина;)). BTW, у меня, например, проблем с домашним компом нет. Аптаймы доходят до месяца с лишним, в среднем дней 20 точно есть (к сожалению бОльших рекордов не зафиксировано по причине того, что иной раз бывает необходимость перезагрузиться или что пропадает электричество на долгое время - было пару раз в этом году точно).

Но здесь иной лейтмотив: данная железка (DLink 2500U) предназначена для других целей. Желаем стать провайдером? Тогда стоит подумать об организации своего дата-центра... :D

Зачем так глобально? Просто внутриквартирная сеточка. Плюс (я вот собираюсь доделать таки): пара-тройка видеокамер для наблюдения за хатой, какое-нибудь не критичное управление, какие-нибудь датчики и пр. Исключительно из спортивного интереса. ;)
Поэтому если я надумаю добавить еще камеру, например, мне придется править конфиги не только на своем компе, но и в модеме.

Кстати, если вдруг дойдут руки до того, чтобы вывесить камеру за окно (нужно будет еще протянуть ее метров 10, хотя бы, а самое лучшее - вывесить ее на торец дома - это метров 30-40 минимум) - может быть адресок опубликую-с;).

[МШ]

Вы рекомендуете Павлу открыть комп голой задницей в сеть/инет и засесть за изучение iptables? Если бы он был в курсе этого - этого типика не было бы. Вы ушли от изначальной темы, и прилепили сюда свои познания в сетевой безопасности. Вы умеете гарантированно позакрывать все, что лишнее и потенциально несет угрозу на своей домшней площадке в 10 серверов? В таком случае Вам вообще этот топик не должен быть интересен.

1. Я не рекомендовал никому выставлять комп голой задницей в интернет. Я сейчас продолжаю обсуждение в русле того, что интересовало Павла: как достучаться из интернета до своего компа.
2. Как я понимаю, ранее Павел так и работал в интернете - т.е. к компу был "прямой доступ" из интернета. Посмотрите с чего начинается топик. :)

Вот и спрашиваю: чем использование переадресации портов через модем глобально отличается от блокирования всех портов, кроме нужных в iptables? Не из стеба или вредности. Мне это действительно интересно.

[klark973]

чем использование переадресации портов через модем глобально отличается от блокирования всех портов, кроме нужных в iptables?

Вкратце, в рамках контекста - простотой установки. На модеме делается всё тоже самое. Но через WEB-админку. Не требуется знаний iptables. Но и возможности значительно меньше.

Ещё нужно понимать принципиальную разницу между возможностями роутера, выступающего в качестве фильтра сетевого трафика, и персонального фаервола. На примере этой железки - и там, и там - возможен iptables, но в случае персонального фаервола возможна более тонкая настройка. Например, правила с привязкой к приложению mozilla-firefox. Да и много чего другого.

Пробрасывание портов - это статичсекий маппинг. С одной стороны, заданная админом дыра внутрь LAN. С другой, ещё большая дыра - надежда на NAT и UPnP со своими динамическими возможностями. Одним словом, на одной чаше весов всегда будет безопасность, а на другой- простота развёртывания, удобства и возможности.

Обычно внутри LAN сидят "ушастые вин-юзеры", чей фаервол значительно дырявей iptables. Ещё на конференции хакеров в 2004 году широко известный автор Великого Червя продемонстрировал, как обходится даже самый защищённый коммерческий программный фаервол в WinXP. При этом злоумышленник получает права системы, что для винды даже пуще прав админа.

Сейчас можно наблюдать как машины с WinXP без внешних аппаратных фильтров с программными пропатченными файрволами и месяца не могут выстоять. Поэтому и только поэтому LAN лучше отгораживать SPI-NAT-ом, а в режиме бриджа все компы LAN будут полностью "открыты на произвол судьбы своим голым задом".

Если все клиенты на Linux-е, опять же проще отгородиться SPI-NAT-ом, не вдаваясь в настройки iptables на каждой машине LAN. В качестве альтернативы - придётся изучить не только iptables, но и много чего ещё. Однако всегда найдётся тот, кто лучше рубит в теме, и сможет обойти ваши доморощенные правила... ;)

[Павeл]

Спасибо всем за ответы! 80-ый порт удалось прокинуть, нужно было просто игнорировать все предупреждения модема, а потом, после всех манипуляций, перезагрузить его (модем). На счет FTP-порта тоже сыплются предупреждения, значит уже используется модемом этот порт.

Правильное решение - найти нормальный хостинг. Уверяю, время простоя для клиентов на домашнем компе будет в несколько раз больше!

Нормальный хостинг найти всегда успею! Мне даже интересно стало организовать мини-веб-сервер на компе с ADSL-интернетом. Если что-то сломается/взломается или не получиться, будем искать нормальный хостинг (или вирутальный выделенный сервер, как вариант).
В общем, раз Вы упомянули про время прстоя, я решил измерить его. Написал небольшой скрипт на PHP, который подключается к моему IP-адресу и скачивает тестовую страничку размером в 6 байт, записывая потраченное на это действие время в лог. Этот скрипт я загрузил на два сервера хостинга в интернете и поставил cron на запуск раз в минуту этого скрипта (на одном и другом сервере). Таким образом, каждую минуту к серверу происходит два подключения. Прошло почти 20 часов этого теста. И вот какие результаты:
первый сервер (Германия) - на одно подключение истрачено примерно 0.4 - 0.5 секунды;
второй сервер (Москва) - на одно подключение истрачено примерно 0.3 - 0.4 секунды.
Конечно, были и такие моменты, когда тратилось 1 - 3 секунды  :( , но это было редко. Не знаю даже почему это случалось, может какие-то зависания были.
Отдавалась статичная страница, а все сайты, которые нужно разместить, работают на PHP, т.е. будет тратиться еще какое-то время на обработку PHP-кода. Но я не думаю, что оно будет слишком большим.

Еще раз спасибо за помощь!  :)

[Павeл]

Про iptables: в модемах D-link (не знаю на счет других) есть полноценный iptables, нужно только подключиться через telnet и все настроить как нужно. Это позволит не настраивать firewall на каждой из машин в сети.

[klark973]

В общем, раз Вы упомянули про время прстоя, я решил измерить его. Написал небольшой скрипт на PHP, который подключается к моему IP-адресу и скачивает тестовую страничку размером в 6 байт, записывая потраченное на это действие время в лог.

Рекомендую для таких целей HostTracker и ему подобные службы. Их довольно много. Вообще-то время простоя службы (конкретного сайта, например) учитывается в годовом / квартальном / месячном исчислении. В принципе, если не более 20 минут простоя (даунтайма) в месяц, и любые атаки или неисправности сервера хостер разруливает быстро, а эти даунтаймы случаются не каждый месяц, то такой даунтайм 20 минут один раз в несколько месяцев - это норма вещей.

На моих ресурсах простукивалки показывают 100% аптайм в последние месяцы. А вот аптайм (время включения) Вашего домашнего сервера, равно как и крутящейся на нём ОС, клиентам совершенно "по боку"!.. ;)

Ну, держите тогда +1, раз со всеми вопросами разобрались! =)

[Павeл]

А, так Вы имели ввиду суммарный uptime в месяц! Я просто подумал, что Вы говорили про время простоя до отдачи страницы, т.е. что клиентам придется долго ждать, пока им отобразиться страница сайта. Все понятно. Ну uptime я тоже измерю...

А вот аптайм (время включения) Вашего домашнего сервера, равно как и крутящейся на нём ОС, клиентам совершенно "по боку"!.. ;)

Не понял. Что Вы этим хотели сказать?

+1

Спасибо. (только сейчас увидел, что на этом форуме есть рейтинг)