Saveti i preporuke jednom pocetniku

Znaci da gledam Salcu karte za UK da i meni namesti ovo da se ne bakcem sam.

E drago mi je da cujem da ce ovo da radi cim proradi. Sad samo da proradi. Drzacu se Ubuntua zato sto imam obicnu (ne server) verziju na laptopu. Tako da ne mesam babe i zabe. Tacnije dve babe... Nadam se da nije neophodno da radim sa Gentooom da bi to radilo stabilno.

Nije potrebno da se mlatis sa Gentoo-om, instaliraj Ubuntu i uzivaj

Pitanje 1 (verovatno boot pitanje al da proverim):
Po onoj topologiji koju sam okacio par postova unazad planiram da server sa linuxom ima 2 mrezne. Dal je to dobra idea ili ne?

Pitanje 2:
Nisam jos nasao... al nisam ni trazio.. U Ubuntu DHCP server hoce li mi opcije omoguciti da dodelim razlicite IP adrese na interfaceje? znaci jedna mrezna da ganja recimo 10.0.0.0 sa nekim sub. maskom a druga da radi na npr 192.168.0.0

Pitanje 3:
Moze li neko da mi okaci svoju verziju squid.config fajla? Ja sam nasao one osnovne opcije al me interesuje kako to izgleda kad se stvarno odradi kako treba... Najbolje bi bilo kad bi neko mogao da mi odradi config spram one moje topologije :-devil-: posto mi ne ide konfigurisanje. Al razumecu ako ne.

ok hvala puno!

1. Moze. Iako danas ljudi uglavnom nabace na tu masinu koja ti je proxy i iptables sa natovanjem (firewalling/routing), i ovo sto si zamislio nije pogresno. To se nekad radilo tako - kad su routeri sa nat-ovanjem bili skupi ko sam djavo.

2. Radice. DHCP server kapira na kom interfejsu se pojavio dhcp request i shodno tome dodeljuje adrese. Napravi 2 scope-a na dhcp-u, definisi IP adrese interfejsima i vozi.

3. Najbitnija sekcija se odnosi na http_access direktive. Sad me mrzi da kacim ceo squid.conf, ali ako zelis da se osiguras da squid opsluzuje klijente samo iz tvoje mreze, unesi sledece:

.
.
#ove dve linije unesi u squid.conf ispred direktive 'http_access deny_all'

acl my_networks src 192.168.0.0/24 10.0.0.0/8
http_access allow my_networks
.
.
http_access deny all

Kao sto vidis pretpostavio sam da racunari u LAN-u imaju recimo adrese 192.168.0.0/24 i 10.0.0.0/8; ako koristis druge adresne opsege promeni to.

poz.

Sale

DHCP radi!!! sinoc je sve proradilo kako treba. Ukapirao sam da mogu da mu kazem koju karticu da sluzi sa dhcp requestima. Hvala. Nisam ga jos ubacio u veliku mrezu al kod mene kuci radi!

SQUID sam naterao da radi takodje. :eyebrows: Imao sam vecih problema kad je trebalo da kreira cache direktorijume. Stalno je izbacivao gresku da nema dozvolu da kreira direktorijume. Jedva sam iscacko kako da to namestim. Mozda sam ja samo boot za linux al meni je to bilo problem.

Sad dakle i squid radi. Jedino sto ako ne promenis opcije na desktopu da ide preko squida on i dalje tera direkt na router i na internet. Za sad nisam stavio drugu mreznu u server i ko sto rekoh jos je kod kuce. Da li ce trebati nesto posebno podesiti u squidu da ne bi trafic isao direkt na router? I kad budem namestao VPN gde kreiram tunel za njega? Na linux serveru pa da preusmerava na win server koji ce da radi VPN ili nesto drugo?? I opet imali sta da se podesava u SQUIDu da bi VPN prolazio il ne?

PUNO hvala za pomoc!!!! cheers

Vidim ja da si ti zamislio da ti squid tu sluzi kao 'proxy za apsolutno sav saobracaj' , ali to tako ne moze.

Squid kesira i vodi racuna SAMO o http/ftp saobracaju, a sav saobracaj usmerava naravno router.

Ono sto ti zelis je neizvodljivo (deo sa VPN pristupom ka win serveru u mrezi) - ili moras ispred masine sa squidom da postavis jos jedan ruter, ili sam linux server sa squidom moras da nateras da radi i kao router.

Shema arhitekture mreze koju si dao je ok, uz ogranicenje da racunari koji se nalaze iza squid servera mogu da rade samo http/ftp (sto mozda i zelis). Jedino sto jos moras na tom linux serveru da uradis je da instaliras dns server/dns cache pa da on sluzi i kao dns server racunarima u lokalu.

Medjutim vpn sa windows servera ne mozes da poteras kroz squid, squid jednostavno nije tome namenjen. Imas 3 solucije:

1. da linux server osim proxy servera bude i router
2. da ispred linux servera stavis router (bilo pravi router, bilo jos linux/bsd masinu sa instaliranom specijalizovanom distribucijom za rutiranje)
3. da, ukoliko je to moguce, drugacije setujes router koji si dobio od provajdera, otprilike ovako:

internet
^
|
ISP router <- deo mreze sa klijentima koji su direktno bili vezani na ruter
^
|
squid + ostatak mreze

Varijanta 3 zahteva da ISP router ima ne 2 nego tri mrezna interfejsa.

poz.

Opet ja.

Ajd sad sam malo odmako od pocetka. Tacnije nasao sam odlican walk through koji manje vise je odgovarao mojoj topologiji. Sem manjiih izmena nisam nist morao da razmisljam. Prem da jesam razmisljao da bih naucio nesto.

E sad setup je takav da posle routera (koji je inace ISPev router sa 4 LAN porta) dolazi lan za goste i linux firewall. (2 razlicita porta)
pa posle njih glavna mreza koja je nakacena na linux eth1 i treba da bude zasticena.

linux ima shorewall firewall na sebi (kaze lik koji je pisao howto da je laksi za razumeti nego iptables), radi dhcp za glavnu mrezu (eth1), ganja squid na obe LAN kartice, i ganja Dans opet na obe.

Router daje IPje gostinskim compovima i radi DNS relay

E sad pitanje je!! Dal je moguce da gostinski kompovi idu preko Dansa bez manualnog unosenja proxyja? Verujem da mogu jer u howto ono sto je kod mene glavna mreza ide direct na proxy bez manuelnog podesavanja. Samo kako da presretnem trafic koji ide direct na router i prvo ga profilterishem pa ga vrnem routeru???

hm ne zvuci moguce kad sad malo razmislim... bar ne bez necega sto ce da route trafic na linux.

Ajde ako ima neko neku ideju nek se javi please

smoke je napisao(la):

Opet ja.
E sad pitanje je!! Dal je moguce da gostinski kompovi idu preko Dansa bez manualnog unosenja proxyja? Verujem da mogu jer u howto ono sto je kod mene glavna mreza ide direct na proxy bez manuelnog podesavanja. Samo kako da presretnem trafic koji ide direct na router i prvo ga profilterishem pa ga vrnem routeru???

hm ne zvuci moguce kad sad malo razmislim... bar ne bez necega sto ce da route trafic na linux.

Ajde ako ima neko neku ideju nek se javi please

Kliknite za proširenje...

Mozes da isforsiras preusmeravanje web saobracaja prvo ka proxy-ju, potrebno je setovati ISP router na odgovarajuci nacin.

Generalno ono sto trebas da uradis jeste da saobracaj po portovima 80 i 21 sa tih 'gostinskih racunara' preusmeris ka proxy-ju.

poz.

Sale

salac je napisao(la):

Mozes da isforsiras preusmeravanje web saobracaja prvo ka proxy-ju, potrebno je setovati ISP router na odgovarajuci nacin.

Generalno ono sto trebas da uradis jeste da saobracaj po portovima 80 i 21 sa tih 'gostinskih racunara' preusmeris ka proxy-ju.

poz.

Sale

Kliknite za proširenje...

Ok to kontam. Ono sto nisam siguran jeste kako?

Ako bih u DHCP za gostinske compove namestio da mi je gateway ne router nego proxy server i onda na serveru firewallu rekao da prosledjuje web trafic na proxy portove (mislim da je tako nesto namesteno u onom howto sto sam koristio samo ja tu opciju nisam ukljucio cini mi se) to bi onda mozda radilo ne?


U principu kad proxy+dans filterise saobracaj? na ulasku u mrezu (znaci sa interneta kad dolazi u mrezu0 ili na izlasku (kad host salje zahteve za odredjene stranice itd sa interneta)?
Ako je na ulasku onda bih mogao da koristim tzv virtual server opciju na mom routeru zar ne?

Inace ako ce ti biti lakse da razmisljas koristim Dl-624 router.


E samo jos jedna stvar!!! Salac da si mi blize trenutno odveo bih te ne na pice :beer: nego na celo rucak ako treba!!!!!! arty: Stvarno si mi puno pomogao, i nisi jos odustao od mene!!!!!

HVALA PUNO! :Klanjanje

cornet je napisao(la):

imam pitanje --nja:

1. kako da napravim server na kome će da stoje moji podaci odn. fajlovi koje bih sherovao.
a) da li je to komplikovano budući da nikad nisam imao server na svojoj mašini.

2. imam instaliran linux (mandrivu)

naravno. voleo bih da mi se objasni do tančina. hvala unapred.

Kliknite za proširenje...

1. Vrlo lako. Apach ti je (nadam se) podignut i instaliran po defaultu u mandrivi. Odes u direktoriju ../var/www/html i tamo stavljas sve fajlove koji hoces da sherujes. Pristupas im kao web stranici sa druge masine time sto upises IP adresu file servera u address bar web pretrazivaca.
2. Dobar izbor

Nema na chemu

Inace, moram priznati da sam citajuci ovaj thread naucio ponesto i predlazem da ga neki moderator baci u sticky da ne bi nestao tek tako. Salac, svaka cast. :wave:

OK prvo.... izvinjenje cornet-u sto mu niko nije odgovorio dok se darko nije snasao i odgovorio mu. Ja sam iskreno ko sto vidite i sam pocetnik tako da je bolje po njega sto ga nisam savetovao!!! :S:

Drugo.... moj problem resen!!! Ovo poslednje pitanje sto sam imao o tome kako da nateram da gostinski compovi teraju direct na squid!!! U toku setupa servera sam namerno # opciju za shorewall koja je bila u howto jer nije bilo potrebe za moju topologiju.
E sad sam to odstiklirao (opcija je nesto tipa redirect sa tih i tih adresa sa porta 80 na port na kom mi je dans) i ukljucio da mi je gateway IP servera a ne IP routera. I RADI!!!!! Filterishe sve stranice.

Cini mi se da radi malcico sporije nego da ide direct na net al to cu preziveti. Moram svakako da dodam jos mem u server (posto je to samo P4 na 1.5 sa 512megi SDRAM :crash: )


Nevezano za ovo... Dobio sam Smart Array P400 (512 megi) nov! koji je moj tutor u skoli (inace network manager u skoli) (inace win lover.... tako da mi oko linuxa ama nista nije znao pomoci....) izbacio iz novog servera koji je danas stigao. On je uzeo 'nesto bolje' pa mu ovo visak!
E sad pitanje je.... jel mos to da se gurne u normalan PC?? Moja ploca nema taj slot (PCI-Express) al ja se jos vozim na starom ASUSu. Jel ima novijih ploca koje mogu da ganjaju ovo u obicnom PCu? I dal to ima smisla raditi?

Bravo, setovao si preusmeravanja saobracaja Drago mi je da si se snasao, proteklih dana sam imao dosta posla pa sam slabo pratio bench forum.

Inace shorewall je jedna od mnogobrojnih web/grafickih alatki za setovanje iptables-a (firewall-a iz linux kernela).

Glede Smart Array P400 - koliko vidim to je pci-e 8x raid/sas kontroler, trebalo bi da radi na svim plocama koje poseduju pci-e 8x port.

poz.

Darko je napisao(la):

1. Vrlo lako. Apach ti je (nadam se) podignut i instaliran po defaultu u mandrivi. Odes u direktoriju ../var/www/html i tamo stavljas sve fajlove koji hoces da sherujes. Pristupas im kao web stranici sa druge masine time sto upises IP adresu file servera u address bar web pretrazivaca.
2. Dobar izbor

Nema na chemu

Kliknite za proširenje...

hvala prijatelju! mislio sam da je moj post zaboravljen.
još to nisam uradio, čim uradim, javljam kako je prošlo.:wave:

Evo sve ovo vreme sam cekao da sklopim prokleti server. Prvo nisau vise imali model koji sam ja hteo, onda mi poslase pogresan HDD, pa je SCSI controller kartica stigla pre dva dana al bez cabla koji sam ja mislio da ide zajedno s njom. E sad cekam kabel. Al evo dok cekam...

Instalirao sam testa radi Win2003 na server. Prvo sam imao da biram izmenju 4 verzije koje su mi poslali is M$. Nisam siguran koja je razlika imzedju Win2003 STANDARD i ENTERPRISE edition. ?!?! Odlucio sam se za enterprise, pisalo negde u licence agreement server enterprise pa valda zato, 64bit win 2003 R2. E onda me je usred instalacije pitao dal hocu da mi licenca servera pokriva odredjen broj konekcija ili da svaki desktop tj user ima svoj licni licence (valda lokalno). E to mi nije jasno uopste???!
Ja sam za sad odabrao da svaki desktop ima svoj key posto smo kupili licencu za 16 compova tj toliko imamo prijavljenih u tom licence agrement. To mozemo da povecamo svake godine po poterbi. A dobili smo dakle jedan kljuc za svih 16.

Ajd posto je meni prvi put da radim ovo na ovakav (legalan) nacin ako neko zna malo vise o tome please nek se javi!!!

Pa zavisi sta ste kupili...

Ja sam uzeo Win2003 Server standard (dodje sa 5 CAL-va), i kupio sam jos dodatnih 130 CAL-ova (CAL = Client Acess Licence)...
Onda na serveru stavis da licenca servera pokriva konekcije...

E sta je sad ovo.

MMC could not create snap-in. Snap-in might not be installed properly.

ovo mi izbaci glupi server kad otvorim konfiguraciju za DNS. Nista posebno nisam radio. Instalirao Win2003 i samo mu ukljucio DNS i gle sad ovo. :wall:

:crash:


imal ko da zna? :rupa: :rupa:

Jesi li setovao DNS pravilno?

Ako ti pravi problem, samo ga reinstaliraj...ne treba dugo vremena...

Administrative Tools / Configure you server wizard ....

Pa prvi put kad sam instalirao DNS javio je da ne moze da pokrene server iz ne znam ni ja kojih razloga, dok ne uradi reset, a usred instalacije je nesto trazio neke fajlove i reko da mi mreza nije setupovana kako treba (al mrezna nije ni bila prikljucena nego sam samo uneo static IP adrese). Tako da sam ga resetovao. Sad navodno servis radi al kad pokusam da odradim konfiguraciju DNS sve sto dobijem je ta porukica u prozoru gde treba da je wizard.

Inace sam stavio 64bit verziju. Ne znam dal to ima neke veze. Neko mi je reko da cu mozda imati problema s njom jer je relativno nova. Dal mislis da ce pomoci ako reinstaliram win? Mislim da sam nesto zezno jos na pocetku instalacije.. al nisam siguran.

Dakle verzija koju stavljam je Win2003 server R2 enterprise 64.

Pa dobra stvar (jedna od retkih ) kod windows 2003 server-a je sto mozes samo da reinstaliras servis, npr. DNS, DHCP, Routing and Remote......nema potrebe za kompletnom reinstalacijom sistema....

E sada, ja se nisam baktao sa 64-bit verzijom (i ako imam 2xXeon Core2Duo koji imaju 64bit instrukcije) bas zbog toga sto ne znam da li stabilno radi, a po mom misljenju server mora da bude nesto sto je stabilno, a ja ne smem mnogo da se zezam sa eksperimentisanjem, jer mi onda cela kompanija stoji...

Da bi podigao DNS moras da imas pravilno setovane mrezne konfiguracije (IP adrese...)...
U sustini DNS setup je jednostavan jer mu prosto kazes sa koje IP adrese ce lokalni DNS da kesira adrese sa "pravog" odnosno provajderovog DNS-a...

Iskreno ako mozes nekako da nabavis Win2003 R2 32bit-nu verziju, ugrabi je, jer je stabilna i radi...cisto da bi bio miran jednom kad ga postavis...

Hvala twix. Reinstalirao sam ceo windows... a onda ga updatovao preko microsoftovog sajta i sad mi se cini da je ok.

Tj bilo je ok dok nisam ukljucio moj cuveni linux proxyserver/firewall/webfilter. Dakle win-server je iza linuxa kao i ostatak moje mreze. I imam sad problem da mi DNS ne komunicira sa ISPjevim DNSom. Mislim da je problem u firewallu na linuxu al nisam siguran.

Kako da namestim da DNS sa win servera prodje kroz linux server sa jedne mreze (eth1) na drugu gde je internet (eth0) tj moj ISP DNS?

Kotistim ko sto sam vec ranije rekao shorewall firewall, SQUID i Dansguardian na linuxu.

Ovo sve naravno trenutno ne dozvoljava da mi active folders radi kako treba...

svaka pomoc je dobrodosla.. ko sto rekoh pocetnik sam:zgran: .... prvi put stavljam win2003 server :wall:

Da bi ti DNS radio na firewallu moras da propustis TCP i UDP saobracaj po portu 53.

poz.

Naravno podrazumeva se da saobracaj na firewall-u (portu 53) pustis u oba smera (sa servera napolje i od napolje na server)...

Mislim da je proradilo.. al nisam siguran sto posto posto mi i dalje active directory ne radi, tj ne vide mi compovi domain. Al mislim da to nema veze sa prethodnim problemom... ili ima?!?! :S:

Dakle znao sam ja odmah da terba da propustim trafic kroz firewall.. al sam mislio da sam to vec uradio. Sad kad ste mi pisali, ja otiso da proverim i nasao par greskica :type: :crash: Evo kako mi sada izgleda firewall configuracija:

# Allow SSH connections to the firewall from both sides
ACCEPT loc fw tcp 22
ACCEPT net fw tcp 22

# Allow DHCP requests
ACCEPT loc fw tcp 546,547

# Allow DNS requests
ACCEPT loc net tcp 53
ACCEPT loc net udp 53
ACCEPT net loc tcp 53
ACCEPT net loc udp 53

# Allow HTTPS
ACCEPT loc net tcp 443

# Allow POP3 email access
ACCEPT loc net tcp 110

# Allow SSL POP3 Access
ACCEPT loc net tcp 995

# Allow IMAP email Access
ACCEPT loc net tcp 143


Ovo sam vecinu preuzeo iz uputstva koje sam naso na netu.. Nije ovo ceo file al ostalo nije tako bitno za ovu sada temu.
Aj ako vas ne mrzi bacite pogled samo, pa ako sam nesto propustio sto bi trebalo da je tu.. il ako jos gore ima viska recite pa da opravim...

O da zone su:
net - kompjuteri i serveri iza linux firewalla. Dakle skolski compovi (vidi u topologiji nakacenoj na nekom od starijih postova)

loc - kompjuteri ispred linuxa, tzv gostinski compovi.

Fala puno unapred. :d

Jesi li propustio SMTP kroz linux firewall (jer ako je na Windows-u nece moci da salje)?

Nisam... tacno. :trust: Ok to treba da dodam. Hvala!! ,)

Mali off.

Ljudi ova tema je ekstra i definitivno treba da ide u sticky.

Ukoliko se domen kontroler i radne stanice nalaze sa iste strane firewall-a, odnosno u istom segmentu mreze, onda firewall ne moze da bude krivac ako radne stanice ne vide domen kontroler.

Da li si na radnim stanicama stavio za DNS server adresu domen kontrolera? Ako nisi obavezno to uradi.

poz.

ma nasao sam gresku sinoc... to ti je kad si neznalica pa ucis u letu. :d

Ja sam nazvao domen u stilu blabla.co.uk i kad sam na stanicama pokusavao da se nakacim na domen u onom polju za domen sa kucao blabla.co.uk i naravno ne radi. E a sinoc sam se dosetio da bi mozda trebalo samo blabla i naravno proradilo sve. :wall:


E aj samo jel mi treba DNS u firewallu u oba smera da propustam ako hocu da mi samo stanice iza firewalla imaju pristup domainu? Trenutno sam namestio u oba pravca da mi propusta al u principu dokle god mi DNS server ima pristup ISP dns serverima to je ok. Necu dakle da postoji mogucnost da se nako kaci na domen sa gostinskih kompjutera... ako to sad ima nekog smisla.

DNS trebas da pustis u oba smera jer on ima request i reply (zahtev za update, i povratne update informacije).....e sada ako ti je DNS na Windows serveru iza firewall-a onda kroz firewall treba da pustis DNS saobracaj samo za taj server, a neka ostali racunari koriste onda taj DNS sa lokalnog server-a a ne sa ISP-jevog DNS-a.....

U DHCP-u treba da podesis da kada "iznajmi" IP adresu lokalnom korisniku ujedno doda i DNS server adresu tvog lokalnog DNS servera (tog Windows server-a)....to ti je u DHPC-u pod Server Options (006 DNS Servers i eventualno mozes i 015 DNS Domain name).....ako mozda imas podignut i WINS onda i njega ubacis pod iznajmiljavnje u DHCP-u (044 WINS/NBNS Servers).....
Naravno proveri da je sve to isto dodato i u Scope Options...