Видимость сервера в сети извне

Question

[proshev]

Здравствуйте! Вопрос простой, но тем не менее прошу помочь сориентироваться :)

В домашней локальной сети планируется установка сервера, на котором на некоторых портах будут висеть некоторые приложения (например, MySQL, Apache, SSH и т.д.). Cервер будет получать интернет с помощью Wi-Fi адаптера либо по витой паре (не выбрал еще) от роутера (на роутере firewall включен). Так вот, как настроить сервер и/или роутер так, чтобы:

1) к какому-то набору портов был доступ только из локальной сети (Apache, MySQL, WebMin)
2) к какому-то набору портов можно было достучаться извне (SSH, FTP)
3) обращения к остальным портам блокировались

Сервер на базе Ubuntu 12.04

Answer 1

[Николай Турнавиотов]

«Сервер по Wifi» — плохой вариант.
второе — *SQL сервера обычно висят только на локалхосте по умолчанию и открывать к ним доступ в принципе не нужно, кроме варианта если web server и *sql сервер живут на разных хостах.
3. настройка и проброс портов на роутере, тем более home-вариантах длинк, линксис, тплинк, асус — достаточно просто в вебинтерфейсе.
4. если вы пробрасываете порт из внешней сети во внутреннюю — все внутренние машины считаю что трафик внутренний и тогда разграничивать надо доступ для IP адреса роутера в мир и всех остальных машин

Answer 2

[Игорь]

Зачем Вам FTP? Мало того, что это небезопасно (гонять в трафике в открытом виде логин и пасс). Вы можете воспользоваться безопасной альтернативой, которую Вам предоставляет SSH. А именно: SFTP

Comments

[Николай Турнавиотов]

или scp, некритично

Answer 3

[Илья Аблеев]

1+2: MySQL, Apache, SSH — позволяют программно разграничить доступы, исходя из сети.
3: iptables?

Comments

[Илья Аблеев]

Кривовато написал… Не «исходя из сети», а в зависимости от того, с какой подсети был совершен запрос к сервису.

[proshev]

а подходит ли вариант с пробрасыванием портов, которые должны быть доступны извне? будет ли этого достаточно?

[Илья Аблеев]

Достаточно для чего? Ну пробросятся они внутрь сети, и что с того? :) Если к MySQL доступ будет только из локальной сети, погоды особой это не сделает.

[proshev]

Я как думал, проброшу порты ssh и ftp на сервер, а остальные пробрасывать не буду. Тогда роутер автоматически не будет пускать на них извне.

P.S. Уточнил вопрос

[Илья Аблеев]

Отвечаю на уточненый вопрос:
1. Если по умолчанию на роутере не блокируются соединения между хостами внутри локальной сети — зачем вообще этот пункт?
2. «Пробросьте» в настройках роутера порты SSH и FTP на сервер.
3. Ну если там файервол — то логично, что они так и так будут блокироваться кроме разрешенных?

[proshev]

Здравый смысл меня подталкивал к этому, но я хотел точно убедиться, ибо еще плохо осведомлен в вопросах организации сети. :) Спасибо за помощь!

[Colobock]

Скажем точнее: извне будут доступно подключение только к тем портам, которые проброшены руками на роутере. Будьте внимательны: большинство домашних маршрутизаторов ограничено по количеству пробрасываемых портов.

[proshev]

Пробросил порты. Пытаюсь подключиться по SSH извне, пишет «ssh: Could not resolve hostname inet_ip:port1». Подключаюсь по локальному адресу вида local_ip:port2 всё ок. Проброс идет с port1 на port2.

[Николай Турнавиотов]

proshev Ваш внутренний сервер о мире и подключениях ничего не знает. на роутере Вам надо пробросить ssh, webmin(кривая гадость, потому как сервисы, котрыми он пытается рулить по функционалу обновляются чаще, чем он сам, поэтому есть большой процент положить сервис/сервер) ftp порты на статический внутренний айпишник убунты — проверьте внимательно — Вы должны выбрать внешний интерфейс роутера и внешний порт и указать ему соответствие их внутреннему айпишнику и внутреннему порту сервиса на убунте. И не ошиблись ли Вы с протоколом — tcp, udp проброса.
на убунте должны быть разрешены подключения со всей локальной сети и особенно от внутреннего IP адреса роутера

[proshev]

ftp пробросился без проблем, а ssh выдает ошибку «ssh: Could not resolve hostname inet_ip:port1»

[proshev]

разобрался :) Писал ssh ip:port1, а надо же было ssh -p port1 ip :)