Здравствуйте! Вопрос простой, но тем не менее прошу помочь сориентироваться :)
В домашней локальной сети планируется установка сервера, на котором на некоторых портах будут висеть некоторые приложения (например, MySQL, Apache, SSH и т.д.). Cервер будет получать интернет с помощью Wi-Fi адаптера либо по витой паре (не выбрал еще) от роутера (на роутере firewall включен). Так вот, как настроить сервер и/или роутер так, чтобы:
1) к какому-то набору портов был доступ только из локальной сети (Apache, MySQL, WebMin)
2) к какому-то набору портов можно было достучаться извне (SSH, FTP)
3) обращения к остальным портам блокировались
«Сервер по Wifi» — плохой вариант.
второе — *SQL сервера обычно висят только на локалхосте по умолчанию и открывать к ним доступ в принципе не нужно, кроме варианта если web server и *sql сервер живут на разных хостах.
3. настройка и проброс портов на роутере, тем более home-вариантах длинк, линксис, тплинк, асус — достаточно просто в вебинтерфейсе.
4. если вы пробрасываете порт из внешней сети во внутреннюю — все внутренние машины считаю что трафик внутренний и тогда разграничивать надо доступ для IP адреса роутера в мир и всех остальных машин
Зачем Вам FTP? Мало того, что это небезопасно (гонять в трафике в открытом виде логин и пасс). Вы можете воспользоваться безопасной альтернативой, которую Вам предоставляет SSH. А именно: SFTP
Достаточно для чего? Ну пробросятся они внутрь сети, и что с того? :) Если к MySQL доступ будет только из локальной сети, погоды особой это не сделает.
Отвечаю на уточненый вопрос:
1. Если по умолчанию на роутере не блокируются соединения между хостами внутри локальной сети — зачем вообще этот пункт?
2. «Пробросьте» в настройках роутера порты SSH и FTP на сервер.
3. Ну если там файервол — то логично, что они так и так будут блокироваться кроме разрешенных?
Скажем точнее: извне будут доступно подключение только к тем портам, которые проброшены руками на роутере. Будьте внимательны: большинство домашних маршрутизаторов ограничено по количеству пробрасываемых портов.
Пробросил порты. Пытаюсь подключиться по SSH извне, пишет «ssh: Could not resolve hostname inet_ip:port1». Подключаюсь по локальному адресу вида local_ip:port2 всё ок. Проброс идет с port1 на port2.
proshev Ваш внутренний сервер о мире и подключениях ничего не знает. на роутере Вам надо пробросить ssh, webmin(кривая гадость, потому как сервисы, котрыми он пытается рулить по функционалу обновляются чаще, чем он сам, поэтому есть большой процент положить сервис/сервер) ftp порты на статический внутренний айпишник убунты — проверьте внимательно — Вы должны выбрать внешний интерфейс роутера и внешний порт и указать ему соответствие их внутреннему айпишнику и внутреннему порту сервиса на убунте. И не ошиблись ли Вы с протоколом — tcp, udp проброса.
на убунте должны быть разрешены подключения со всей локальной сети и особенно от внутреннего IP адреса роутера