From: Serdar Koylu (serdarkoylu@fisek.com.tr)
Date: Wed 23 Apr 2003 - 20:57:25 EEST
Selamlar..
Bu sorunun cozumu aslinda bir makineye (dogrusu arabirime) iki IP vermek degil. Bunun cevabi aslinda routing ve DNS ayarlarinda sakli.
Aslen yapmaniz gereken su. DNS serverinizi oyle ayarlayacaksiniz ki yerel networke de, digerine de ayni IP'leri gosterecek. Sizin oradaki enteresan DNS duzenlemesi aynen duruyor saniyorum...
Icerdeki bir kotu niyetli kullanici herhangi bir firewall kuralina vs. tabi olmadan mail servera ulasabiliyor olacak aksi halde. Bunun boyle yerel networkte duruyor olmasi aslinda son derece ciddi bir guvenlik sorunu olabilir ilerde. Gerci durumu tam anlamiyla kafama sigdirmis degilim ama anladigim kadariyla mail server fiziksel olarak yerel networkta duruyor.
Karisik bir durum. Neden icerdekiler ve disardakiler ayri ayri ? Kafa karistirici bir durum.
Benim nacizane tavsiyem bu makineyi bir DMZ'e alin. Firewall veya o yerel agin bagli oldugu router uzerinden mail isteklerini buna NAT edin. En azindan olaya soyle bir bakin. Bu makine, Windows paylasimlarinin bir suru UDP broadcastini vs. islemekle ugrasiyor. SMB calismiyor olsa bile, bir sekilde paketi alip bu servis varmi yok mu buna bakiyor. Kulliyeten gereksiz bir yuk degil mi ? Siz birde Virtual Arabirim ile bu yuku iki katina cikaracaksiniz..
Sorunuzun tam cevabi, tarif ettigim sekilde. Daha detayli aciklama icin /etc/sysconfig/network-scripts/ifup-aliases dosyasina gozatin. Linux'tada bu isler standart yollardan yapilabiliyor. Yani sistemin tipik konfigurasyon toollarinin sistematigini bozmadan. Bazi arkadaslar gayet dogal olarak "Linux altinda rc.local'in sonuna yazmak son derece dogaldir" diyorlar. Haklilar ama, bu sekilde yaptiginizda, interfacelerin bir kismi /etc/init.d/network ile isletilirken, bir kismi rc.local ile vs. isletilecek. Atiyorum 2 ay sonra bu duzenlemeyi unutursunuz, sonra da bu nereden cikti diye bakinir durursunuz. Bu nedenle sistematigi bozmadan gorevleri ayni arabirim, sistematik vs. icinde yapabilmek onemli olur. Bilhassa izne ayrildiginizda, cep telefonunuzun surekli calmamasi icin bu sekilde legal ama "nev'i sahsina munhasir" degisikliklerden kacinmak gerekir.
Kisacasi, siz rc.local'e vs. bir satir eklemeyin. ifup-aliases'te tarif edilen sekilde yapin. Ama, asil su an yaptiginizin guvenlik, performans, subnetworking vs. teamullerine kokten aykiri oldugunu atlamayin. RH ile dilerseniz, "12 den 128'e kadar tum IP'ler icin birer sanal arabirim olustur" bile dersiniz, tek bir conf dosyasiyla, ve buda diger arabirim duzenekleri gibi ayni dizinde, ifcfg-fesmekan seklinde olur. Ama bunun icin gercekten iyi bir sebebiniz olmali. Gene nacizane tavsiyem, mantikli bir ag yapilandirmasini saglamaniz. Hatirliyorum, sizin BIM'de bir DNS vardi, digerine forward ediyordu filan. Boyle seyler bolca kafa karistirir. Hic gerek yok. Sade ve saydam dusunun... Eger boyle yapmak iyi olsaydi, kimse DMZ filan koymazdi.. 30 $'lik ucuz bir SWITCH bile su anki durumdan bin kere iyi cozum olacaktir.
Saygi ve sevgiler..
23 Apr 2003 18:07 EEST tarihinde yazmışsınız:
> merhaba
>
> oncelikle Serdar Beye tesekkur etmek istiyorum.
>
> Gelelim neden boyle birsey yapmak istedigime;
>
> elimizde hem internete hemde local networke ftp web ve mail yayini yapmak=
> ta olan bir makina var bu makinanin dmz gibi bir olayi yok
> bu nedenle makinaya 1 ethernet takip 2 ip vermek zorundayim.(Aslinda 2 et=
> hernet takip her ethernete gerekli ipyi verebilirim ozamanda ogrencilerin=
> kullancaklari hat ve boylece makina sayisini azaltmis olurum. Bu sebeble=
> bunuda yapmak istemiyorum.)niye diye soracaksiniz. cunku localdekiler ma=
> kinanin adresini ilk ip olarak biliyorlar. o nedenle surekli o ip i kulla=
> nrak makinaya ersimeye calisiyorlar erisemedikleri zaman ise telefon acip=
> neden erisemiyorum diye soruyorlar ,makinanin diger ip si ise merkez bim=
> tarafindan gercek ip e yonlendirilmis olan ip bu nedenle bunuda kullanma=
> k zorundayim