Dank voor je reply, dat idee van die manageble switch klinkt heel goed. Ik zal het morgen gaan uitzoeken.
Verwijderd
Keyword is hier toch wel gameserver, voor al die andere zaken heb je aan een Pentium II meer dan genoeg. Als niet, dan vraag ik me toch echt af welke software je gebruikt...
Een knappe router? Er zijn behoorlijk weinig routers die meer "knaps" kunnen dan wat standaard (en zeker met alle extra software) in Linux beschikbaar is. Het enige voordeel van een aparte router is de load die hij kan hebben door hardwarematig routeren ipv softwarematig, en de "focus" van het apparaat; hij staat er om te routeren, en niets anders.Word nu al krap vraag me af hoe jij dat met 6 Grote verbruikers gaat redden
/me denkt toch dat een knappe router een mooiere oplossing is, qua gebruiksgemak en stabiliteit.
De setup waar de TS om vraagt is volgens mij het makkelijkst en goedkoopst te realiseren via een Debian machine met 2 netwerkkaarten uit te rusten; 1 voor het modem, en 1 voor richting een switch. Vervolgens duw je zes bedrijfjes in die switch (wel een echte, niet een switching hub), deel je je IP's uit via DHCP (met een beetje slimme switch + DHCP server weet je van welke switchpoort je DHCP request komt, dus weet je in welk subnet je de aanvrager moet stoppen), heb je meteen uitbreiding in client PC's bij de bedrijfjes dichtgetimmerd...
:strip_exif()/u/33218/iconhamer.gif?f=community)
/u/31090/bla.png?f=community)
/u/34216/avatar-60x60.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/25814/camus_small.jpg?f=community)
ADSL is de beperkende factor, niet de PCI bus. Ik vraag me dan wel af of je maatregelen zal moeten treffen om te zorgen dat als er een paar downloaden en daarmee de lijn dichttrekken, de rest dan helemaal niets meer krijgt. Dat zou namelijk wel heel irritant zijn en er snel toe leiden dat bedrijven andere oplossingen willen.:
Die paar internetpagina's per uur? Het gaat erom dat internet beschikbaar is, mochten 2 gebruikers toevallig tegelijk de bandbreedte van de PCI bus () weten vol te trekken dan wacht gebruiker2 10ms langer.
Wie trösten wir uns, die Mörder aller Mörder?
Eerst kijken hoe het loopt, mocht na een aantal weken blijken dat de lijn regelmatig vol zit dan passen we traffic shaping toe.
Echter er zal niet sprake zijn van een constante down- of upload, er zal niet worden gestreamt oid, geen nieuwsgroepen die leeggetrokken worden, of p2p programma's die continue een dikke upload veroorzaken. Daarom lijkt traffic shaping mij in eerste instantie overbodig.
't Wordt geen machine voor in een studentenhuis
maar inderdaad, goede bandbreedte verdeling is wel een must.
dhcpD kan luisteren op meerdere interfaces. Ik denk dat je ook wel meerdere daemons kunt draaien met verschillend opgegeven config's. Voor dit toch eenvoudige delen van het internet is gewoon 2x netwerkkaart met 5 poorten toch wel het goedkoopst lijkt mij
edit:
En dat lijkt me een van de redenen van de bedrijven om jouw te vragen een routertje te maken; anders hadden ze wel een prof IT bedrijf gebeld ofzo ? die daarna met allemaal cisco's op hun rug komen aanlopen 
edit:
En dat lijkt me een van de redenen van de bedrijven om jouw te vragen een routertje te maken; anders hadden ze wel een prof IT bedrijf gebeld ofzo ?
die daarna met allemaal cisco's op hun rug komen aanlopen
[ Voor 31% gewijzigd door pierre-oord op 29-03-2004 08:30 ]
Ondernemer in tech (oud LOQED.com, nu UpToMore.com)
:strip_exif()/u/2172/crop57acf4ac04e70.gif?f=community)
Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)
Als een bedrijf weggaat trekt die denk ik gewoon de netwerkkabel eruit?
Ondernemer in tech (oud LOQED.com, nu UpToMore.com)
Puur uit kostenbesparing. Kosten voor hardware en onderhoud wordt geregeld door het bedrijf wat ons gevraagd heeft dit op te zetten, wij zijn er puur om het technisch te faciliteren.
Je zou het kunnen vergelijken met een ISP inderdaad. Ik denk dat we ook de mailboxen moeten beheren (lees: aanmaken bij xs4all).
Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)
:strip_exif()/u/16970/crop57cd1ef1eb0d0.gif?f=community)
Het zal mischien wel lukken met de hardware maar een ander probleem is als je server een keer crasched.
De bliksem kan inslaan, voeding doorfikken, schijf crashen, nic kapot gaan.
Dan zitten er ineens 6 bedrijven zonder internet, het verschilt natuurlijk wel hoe afhankelijk ze ervan zijn maar een complete administratie afdeling die een paar uur niet kan telebankieren word niet vrolijk.
Mocht dit gebeuren en jij word verantwoordelijk gehouden dan ben je ineens alle winst kwijt die je gemaakt had omdat je voor deze oplossing hebt gekozen.
Van te voren dus zeker goede afspraken maken
Ik heb wel ervaring met 4 nic in een linux bak en dat ging gewoon goed, 7 zal dus ook wel lukken.
De bliksem kan inslaan, voeding doorfikken, schijf crashen, nic kapot gaan.
Dan zitten er ineens 6 bedrijven zonder internet, het verschilt natuurlijk wel hoe afhankelijk ze ervan zijn maar een complete administratie afdeling die een paar uur niet kan telebankieren word niet vrolijk.
Mocht dit gebeuren en jij word verantwoordelijk gehouden dan ben je ineens alle winst kwijt die je gemaakt had omdat je voor deze oplossing hebt gekozen.
Van te voren dus zeker goede afspraken maken
Ik heb wel ervaring met 4 nic in een linux bak en dat ging gewoon goed, 7 zal dus ook wel lukken.
Alle proemn in n drek
:strip_icc():strip_exif()/u/4798/kittyavatar.jpg?f=community){kind=avatar}
Als je niet de moeite neemt je post in net Nederlands te schrijven, neem ik de moeite niet hem te lezen.
:strip_icc():strip_exif()/u/12519/iconlamp.jpg?f=community)
doe niet zo raar man,:
1 Verbinding delen door 6 bedrijven, ik hoop voor je dat Of je een flink budget hebt en je een redelijke lijn kan aanschaffen.
Of ik hoop voor je dat het alleen mail betrekt.
Anders is het dus echt niet te doen op een normaal p4 systeempie "even" 6 bedrijven internet door te laten scheuren ben ik bang.
Mijn p4 Server hier thuis is mail server voor 4 clients, en deelt internet aan 2 en hij is een fileserver/gameserver met 640MB ram.
Word nu al krap vraag me af hoe jij dat met 6 Grote verbruikers gaat redden
* xychix denkt toch dat een knappe router een mooiere oplossing is, qua gebruiksgemak en stabiliteit.
ik heb een p200 met 64 mb ram (of 32) en die is fileserver mailserver en gateway voor 7 pc's (laten we zeggen 3 downloadende en msnnende mensen die ook mp3's spelen van shared disk)
de bak draaid freebsd 5.0
heeft constant een screen in background met een irc client..
geen enkel performance probleem!!
JA GAMESERVER ok... maar 6 mkb's door 1 snelle machine ? ik zou het aandurven qua performance.
toch zou ik ook een router overwegen, zo duur zijn die niet... iig goedkoper dan een halve dag uitval!
Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad
Hoewel een dedicated router een goede oplossing is, heeft deze oplossing ook voordelen. Zo kun je de pagina's die opgevraagd worden cachen en zo de load wat verminderen. (Probeer dan ook die Windows updates op te vangen )
En misschien kan je het dan ook gebruiken als web of intranet server.
Dus dat gebruikers hun mail ook extern kunnen bekijken oid?
)En misschien kan je het dan ook gebruiken als web of intranet server.
Dus dat gebruikers hun mail ook extern kunnen bekijken oid?
let the past be the past.
Precies, je kunt alle kanten op. PHP webtoepassing? Geen probleem. En qua beveiliging kun je je uitleven met iptables, traffic shaping is ook goed ontwikkeld, dus werkelijk alles is te bouwen met zo'n setup als dit.:
Hoewel een dedicated router een goede oplossing is, heeft deze oplossing ook voordelen. Zo kun je de pagina's die opgevraagd worden cachen en zo de load wat verminderen. (Probeer dan ook die Windows updates op te vangen
En misschien kan je het dan ook gebruiken als web of intranet server.
Dus dat gebruikers hun mail ook extern kunnen bekijken oid?
2 bedrijven gaan fuseren? Prima, staan we routing tussen beide toe.
/u/13464/Delphi.png?f=community)
Als je dat zo graag wilt weten zou je ook op google kunnen kijken en zelf onderzoek doen, of open daarna desnoods een nieuw topic over ondersteuning van dergelijke kaarten in plaats van andermans topic ermee lastigvallen
[ Voor 14% gewijzigd door blaataaps op 29-03-2004 18:02 ]
Ik zou zoiets echt niet zelf gaan bouwen, check eens de sites van Cisco, Netgear, D-Link etc.
Je moet wel bedenken dat zo'n zelfbouw-oplossing erg vervelend is als er iets mis mee is en ineens 7 bedrijven zonder internet zitten.
Helemaal als jij inmiddels al ergens anders werkt bijvoorbeeld
Je moet wel bedenken dat zo'n zelfbouw-oplossing erg vervelend is als er iets mis mee is en ineens 7 bedrijven zonder internet zitten.
Helemaal als jij inmiddels al ergens anders werkt bijvoorbeeld
Zo lastig is dat niet!:
[...]
Als je dat zo graag wilt weten zou je ook op google kunnen kijken en zelf onderzoek doen, of open daarna desnoods een nieuw topic over ondersteuning van dergelijke kaarten in plaats van andermans topic ermee lastigvallen
Vind 't een goeie ontopic vraag want dat is natuurlijk waar het om gaat in dit topic... we kunnen er 6 kaarten in proppen maar als er een goede dual- of quad-kaart bestaat mét goede ondersteuning onder Linux dan is dat natuurlijk nog beter!
't Leven moet natuurlijk wel spannend blijven:
Ik zou zoiets echt niet zelf gaan bouwen, check eens de sites van Cisco, Netgear, D-Link etc.
Je moet wel bedenken dat zo'n zelfbouw-oplossing erg vervelend is als er iets mis mee is en ineens 7 bedrijven zonder internet zitten.
Helemaal als jij inmiddels al ergens anders werkt bijvoorbeeld
Nee, zonder gekheid, vind dat nog niet echt een steekhoudend argument... kant en klare oplossing kunnen net zo goed in "storing" vallen.
Bedankt voor de input - so far so good... Ik zal VLAN's nog even goed bekijken want daar weet ik weinig van.
[ Voor 40% gewijzigd door Arnout op 29-03-2004 18:14 ]
Het ging ook om de manier waarop, binnen 20 minuten 2 vragen stellen die zelf ook voor een deel makkelijk gevonden konden worden:
[...]
Zo lastig is dat niet!
Vind 't een goeie ontopic vraag want dat is natuurlijk waar het om gaat in dit topic...
Maar laten we maar weer ontopic verdergaan, ik sluit me nog steeds aan bij WIlke, en denk dat er voor een redelijke prijs wel een office-routertje te regelen valt die alles kan wat je wilt, maar alle succes toegewenst natuurlijk, ik ben sowieso benieuwd naar de afloop
Maar als die in storing vallen, kan iedereen met enige kennis van bijvoorbeeld cisco snel een replacement maken, of het repareren als jij niet (meer) beschikbaar bent, wat voor mij zeker een argument is. Als ik een werknemer heb die nu iets maakt wat uitstekend werkt, maar als een eventuele volgende of andere werknemer die er ook mee moet werken eerst een week onderzoek moet plegen naar hoe de setup precies inelkaar zit, zou ik toch neigen naar een standaardoplossing
[ Voor 34% gewijzigd door blaataaps op 29-03-2004 18:20 ]
:strip_exif()/u/29037/sousuke02a.gif?f=community)
Verwijderd
Hmmm ik ben ook benieuwd naar de afloop...
Verder heb ik zitten denken aan de dhcpd;
Hoe vertel je deze dat ie bedrijf 1 alleen ip's uit 10.0.1.x range mag geven, en bedrijf 2 alleen ip's uit de 10.0.2.x range zonder mac-adressen te gaan opnemen in de config?
Verder heb ik zitten denken aan de dhcpd;
Hoe vertel je deze dat ie bedrijf 1 alleen ip's uit 10.0.1.x range mag geven, en bedrijf 2 alleen ip's uit de 10.0.2.x range zonder mac-adressen te gaan opnemen in de config?
[ Voor 3% gewijzigd door Verwijderd op 29-03-2004 23:42 . Reden: beniewd --> benieuwd ]
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
Check de manual van DHCPcd. Volgens mij kan je die laten draaien met meerdere configuraties per nic:
Hmmm ik ben ook benieuwd naar de afloop...
Verder heb ik zitten denken aan de dhcpd;
Hoe vertel je deze dat ie bedrijf 1 alleen ip's uit 10.0.1.x range mag geven, en bedrijf 2 alleen ip's uit de 10.0.2.x range zonder mac-adressen te gaan opnemen in de config?
DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards
:strip_icc():strip_exif()/u/34990/unix.jpg?f=community)
Zoals gezegd kan je je netwerkje op meerdere manier opdelen in stukken. Als je het opsomt in oplopende mate van scheiding:
1) 1 netwerkkaart voor je LAN, en verschillende subnetten aanmaken per bedrijf. Dit is het makkelijkst maar ook het makkelijkst te omzeilen door simpelweg met de hand andere IP's in te stellen. DHCP wordt moeilijk omdat je niet kan zien waar een client vandaan komt en dus ook niet een op maat gesneden DHCP lease kan uitdelen. Dat wordt dus MAC-IP combinaties inkloppen in dhcpd.conf, of iedere PC met de hand instellen.
2) 1 netwerkkaart voor je LAN, VLAN's met subnetjes + een switch die dit snapt. De gebruikers zitten dan 'hard' in een netwerk, en kunnen elkaars PC's niet bereiken, tenzij je expliciet aangeeft dat het wel mag. Je kan per switchpoort instellen waar iemand zit. Omdat ze op ethernet nivo gescheiden zijn kunnen ze elkaars netwerk niet verzieken (we laten de echte tweakers buiten beschouwing). Je server draait DHCP en kan aan de hand van het request zien uit welke interface het kwam, en zo een op maat gesneden lease uitdelen.
3) Meerdere netwerkkaarten met subnetjes. Dit is fysiek het meest gescheiden. Maar in feite is het net zo gescheiden als met VLAN's, want met enkele rules kun je wel in elkaar netwerk komen. Je hebt hier wel een switch nodig aan *iedere* kaart als je het wilt verdelen over alle bedrijven. DHCP werkt zoals in optie 2.
Het punt waar het volgens mij om hangt is de bekabeling.
Als ieder bedrijf meerdere UTP aansluitingen heeft en die komen allemaal bij elkaar op een plek, dan zou je aan 1 centrale switch met VLAN's genoeg hebben (optie 2).
Als ieder bedrijf 1 UTP aansluiting heeft en die komt uit bij je server, dan kies je voor optie 3. Ieder bedrijf moet dan zijn eigen switch hebben staan in hun ruimte.
1) 1 netwerkkaart voor je LAN, en verschillende subnetten aanmaken per bedrijf. Dit is het makkelijkst maar ook het makkelijkst te omzeilen door simpelweg met de hand andere IP's in te stellen. DHCP wordt moeilijk omdat je niet kan zien waar een client vandaan komt en dus ook niet een op maat gesneden DHCP lease kan uitdelen. Dat wordt dus MAC-IP combinaties inkloppen in dhcpd.conf, of iedere PC met de hand instellen.
2) 1 netwerkkaart voor je LAN, VLAN's met subnetjes + een switch die dit snapt. De gebruikers zitten dan 'hard' in een netwerk, en kunnen elkaars PC's niet bereiken, tenzij je expliciet aangeeft dat het wel mag. Je kan per switchpoort instellen waar iemand zit. Omdat ze op ethernet nivo gescheiden zijn kunnen ze elkaars netwerk niet verzieken (we laten de echte tweakers buiten beschouwing
). Je server draait DHCP en kan aan de hand van het request zien uit welke interface het kwam, en zo een op maat gesneden lease uitdelen.3) Meerdere netwerkkaarten met subnetjes. Dit is fysiek het meest gescheiden. Maar in feite is het net zo gescheiden als met VLAN's, want met enkele rules kun je wel in elkaar netwerk komen. Je hebt hier wel een switch nodig aan *iedere* kaart als je het wilt verdelen over alle bedrijven. DHCP werkt zoals in optie 2.
Het punt waar het volgens mij om hangt is de bekabeling.
Als ieder bedrijf meerdere UTP aansluitingen heeft en die komen allemaal bij elkaar op een plek, dan zou je aan 1 centrale switch met VLAN's genoeg hebben (optie 2).
Als ieder bedrijf 1 UTP aansluiting heeft en die komt uit bij je server, dan kies je voor optie 3. Ieder bedrijf moet dan zijn eigen switch hebben staan in hun ruimte.
usr-local-dick (geweldige nick
), bedankt voor het duidelijke verhaal. Zelfs zonder ervaring met VLAN's kan ik nu zeggen dat die optie dus afvalt. Het zal dus 3 gaan worden, omdat enkele bedrijven al zelf een hub/switch/weetikhet hebben staan in het 19" rack (1 rack voor het hele gebouw).Dus dan wordt het de multi-NIC's setup.
Komtie:
Optie 2 valt dus af omdat er al 2 bedrijven zijn die hun eigen switch hebben en het er naar uitziet dat iedereen zijn eigen hardware gaat gebruiken. De bedrijven zijn in die zin zo onafhankelijk van elkaar dat ze eigenlijk alleen het 19" rack delen en een internet verbinding willen delen (+ evt. dhcpd).
:strip_icc():strip_exif()/u/25115/hshUE4j.jpg?f=community)
Ik heb een soort gelijke "probleem" moeten oplossen. Bij een klant van ons kwamen 5 aparte lijnen binnen (ADSL volgens het capicity netwerk) die dus allemaal gebruik maken van internet gateway gerelateerde zaken (proxy, e-mail, etc) en deze lijnen worden ook gebruikt voor het realiseren van een Terminal Server sessie.
Deze server (voorzien van Redhat Linux 7.0 en 6 3Com 3C905C-TXM nic's) handelt het geheel af en fungeert als firewall en internet gateway tussen het internet, het lokale netwerk en het capicity netwerk (waarbij de andere kant van het capacity netwerk ook voorzien zijn van Linux firewall/routers/gateways). Dit ging zonder problemen, echter je moet wel rekening houden met een goede routeringtabel (dit is een pré aangezien je anders voor hele rare zaken komt te staan).
Deze setup draait sinds 9 maanden zonder problemen en zonder enige vorm van reboot. Het voordeel wat wij ook nog eens hebben is dat wij de andere servers op het capacity netwerk zonder problemen ook kunnen beheren.
Onze hoofdserver is voorzien van de volgende specificaties :
- Redhat Linux 7.0 (heavily updated);
- HP OpenMail 7.0 (groupware server met 150 users gedefinieerd);
- Intel Pentium 3 600Mhz;
- 2 x 256MB RAM PC133Mhz;
- 2 x 80GB IDE Western Digital (ATA100/8MB/7200RPM);
- 1 x 8GB SCSI Ultra2 (IBM);
- 1 x Promise IDE RAID ATA100;
- 1 x Adaptec 29160N SCSI Adapter;
- *merk onbekend* Pentium3 mobo voorzien van 7 PCI sloten;
- 6 x 3COM 509C-TXM NIC adapters;
- 1 x Realtek 10/100MBIT onboard NIC adapter;
Deze server regelt dus het internet en e-mail verkeer voor maximaal 150 gebruikers. Gemiddeld zitten er 80 gebruikers simultaan op te hakken. Er is geen sprake van enkele performance problemen. Overigens is de gehele OpenMail database geplaatst op die 2 x 80GB HDD's (zijn gekoppeld door middel van RAID1 op de Promise controller) en de meeste CPU kracht gebruikt hij bij het realiseren van de OpenMail connecties met de client.
Het mooie van deze setup is, dat wij kunnen meten wat er uitgegaan en binnen gekomen is qua internet data zodat onze klant dit kan door belasten naar de andere lokaties.
Het moraal van dit verhaal is, is dat dit zeker mogelijk is! Over het algemeen ben ik ongeveer 3 dagen (3 x 8 uur) bezig geweest met deze setup. Het enigste probleem dat ik had, was een goede routing tabel construeren. Het was een leuk project en het voordeel ten opzichte van een hardware matige (router) oplossing is, dat dit enorm aan te passen is aan de wensen v.d. klant. Nu moet er alleen geen extra ADSL connectie komen, want dit gaat helaas niet meer i.v.m. geen PCI sloten
Deze server (voorzien van Redhat Linux 7.0 en 6 3Com 3C905C-TXM nic's) handelt het geheel af en fungeert als firewall en internet gateway tussen het internet, het lokale netwerk en het capicity netwerk (waarbij de andere kant van het capacity netwerk ook voorzien zijn van Linux firewall/routers/gateways). Dit ging zonder problemen, echter je moet wel rekening houden met een goede routeringtabel (dit is een pré aangezien je anders voor hele rare zaken komt te staan).
Deze setup draait sinds 9 maanden zonder problemen en zonder enige vorm van reboot. Het voordeel wat wij ook nog eens hebben is dat wij de andere servers op het capacity netwerk zonder problemen ook kunnen beheren.
Onze hoofdserver is voorzien van de volgende specificaties :
- Redhat Linux 7.0 (heavily updated);
- HP OpenMail 7.0 (groupware server met 150 users gedefinieerd);
- Intel Pentium 3 600Mhz;
- 2 x 256MB RAM PC133Mhz;
- 2 x 80GB IDE Western Digital (ATA100/8MB/7200RPM);
- 1 x 8GB SCSI Ultra2 (IBM);
- 1 x Promise IDE RAID ATA100;
- 1 x Adaptec 29160N SCSI Adapter;
- *merk onbekend* Pentium3 mobo voorzien van 7 PCI sloten;
- 6 x 3COM 509C-TXM NIC adapters;
- 1 x Realtek 10/100MBIT onboard NIC adapter;
Deze server regelt dus het internet en e-mail verkeer voor maximaal 150 gebruikers. Gemiddeld zitten er 80 gebruikers simultaan op te hakken. Er is geen sprake van enkele performance problemen. Overigens is de gehele OpenMail database geplaatst op die 2 x 80GB HDD's (zijn gekoppeld door middel van RAID1 op de Promise controller) en de meeste CPU kracht gebruikt hij bij het realiseren van de OpenMail connecties met de client.
Het mooie van deze setup is, dat wij kunnen meten wat er uitgegaan en binnen gekomen is qua internet data zodat onze klant dit kan door belasten naar de andere lokaties.
Het moraal van dit verhaal is, is dat dit zeker mogelijk is! Over het algemeen ben ik ongeveer 3 dagen (3 x 8 uur) bezig geweest met deze setup. Het enigste probleem dat ik had, was een goede routing tabel construeren. Het was een leuk project en het voordeel ten opzichte van een hardware matige (router) oplossing is, dat dit enorm aan te passen is aan de wensen v.d. klant. Nu moet er alleen geen extra ADSL connectie komen, want dit gaat helaas niet meer i.v.m. geen PCI sloten
[ Voor 11% gewijzigd door nwagenaar op 30-03-2004 15:29 ]
7 nic's in een pc is geen enkel probleem.
heb voor een hobbyclub een switch in elkaar geklust bestaande uit:
- 486'er moederbord/proc
- 16 mb ram
- 2 x 200mb schijfjes in een software raid 1 (mirror)
- 4 x 10-mbit isa-kaarjes
- 3 x 100mbit pci-kaartjes
- serieele console poort
- debian 3.0
moest het ding ontdoen van vga en zijn tweede ide-kanaal uitschakelen om voldoende irq's vrij te hebben en de serieele lijn te kunnen gebruiken om een hardware-terminal aan te hangen. Maar het gaat wel.....
Achteraf-gezien was het meer een uitdaging om het ding aan de praat te krijgen, dan dat het de moeite waard was ....
maar in ieder geval werkt het ding nog steeds.
heb voor een hobbyclub een switch in elkaar geklust bestaande uit:
- 486'er moederbord/proc
- 16 mb ram
- 2 x 200mb schijfjes in een software raid 1 (mirror)
- 4 x 10-mbit isa-kaarjes
- 3 x 100mbit pci-kaartjes
- serieele console poort
- debian 3.0
moest het ding ontdoen van vga en zijn tweede ide-kanaal uitschakelen om voldoende irq's vrij te hebben en de serieele lijn te kunnen gebruiken om een hardware-terminal aan te hangen. Maar het gaat wel.....
Achteraf-gezien was het meer een uitdaging om het ding aan de praat te krijgen, dan dat het de moeite waard was ....
maar in ieder geval werkt het ding nog steeds.
Kijk, dit soort verhalen daar was ik naar op zoek! De echte succes-stories!
Niks ten nadele van de posters die kiezen voor een kant-en-klare oplossing, maar zelfbouw is nog altijd het gaafst. Ook igmar bedankt voor het geven van je setup informatie eerder in het topic, en chewbacca.Hmmz, we laten de pc bouwen, echter deze komen met de volgende opmerking:
Heb wel vaker pc's gebouwd met onboard LAN + een NIC.
:strip_icc():strip_exif()/u/31199/goticon.jpg?f=community)
Dank, dank!:
[...]
Kijk, dit soort verhalen daar was ik naar op zoek! De echte succes-stories!
Wat ik overigens niet geheel duidelijk had opgegeven is, dat deze server fungeert als firewall tussen het capacity netwerken en de lan (en natuurlijk als firewall voor vanaf het internet naar binnen op de verschillende netwerken) aangezien deze lokaties niks met elkaar van doen hebben qua documenten en dergelijke.
De firewall constructie heb ik geregeld door middel van Shorewall (naar mijn mening de beste iptables firewall constructie applicatie) en Linux kernel 2.4. Door middel van Shorewall heb ik een duidelijke overzicht hoe alles qua firewall ingesteld is en dit is verdomd handig bij het zoeken van eventuele firewall problemen.
Ik zou echt eerst het één en ander op papier zetten hoe je het wil hebben, vanuit deze manier is het makkelijker implementeren en is de kans op fouten kleiner (mits je gebruik maakt van deze gegevens).
Is geen enkel probleem. De RealTek onboard lan wordt in onze geval gebruikt voor de ADSL verbinding naar het internet toe. Het probleem zou kunnen zijn in geval met vrije IRQ's, dit heb ik opgelost door alle andere taferelen zoals USB, COM, LPT, etc uit te zetten.Hmmz, we laten de pc bouwen, echter deze komen met de volgende opmerking:
[...]
Ik weet niet wat het je allemaal gaat kosten maar als je deze jongen koopt ben je beter en goedkoper uit lijkt me.:
[...]
Kijk, dit soort verhalen daar was ik naar op zoek! De echte succes-stories!
Hmmz, we laten de pc bouwen, echter deze komen met de volgende opmerking:
[...]
:strip_exif()/u/2140/tux2.gif?f=community)
/u/14946/avat1.png?f=community)
kans op uitval... Tja je kan ook ook extra services draaien met die HD dus of dat echt slechter is, een RAID 1 lijkt me wel aangenaam vanwege de aparte configuratie.:
ik snap echt niet waarom je voor een "prul in mekaar" oplossing gaat als er kant en klare oplossingen te koop zijn.
redenen ?
- kans van uitval is bij een computer veel hoger (met name de HD dus)
- bandbreedte is beperkt in je pc vanwege de pci bus
- een computer is in de regel eenvoudiger te hacken, dus je zal er tijd in moeten steken het veilig te maken (en te houden)
- stroomverbruik is bij een computer veel hoger
ik zie alleen maar risico's...
maargoed, ik wens je desalniettemin alle succes
Bandbreedte beperkt ? 66MB/sec particulier internet zie ik voorlopig nog niet gebeuren zonder glasvezel. (2x66 = (in+out) = 133MB = PCI)
Eenvoudig te hacken? Dat ligt helemaal aan de services die je draait. Die routers hebben ook af en toe firmware updates.
Qua stroomverbruik zit de pc inderdaad hoger maar je zou bijvoorbeeld een Pentium-M proc kunnen nemen en die eventueel onderklokken of iets dergelijks, met een paar draaiende services is het echter voordeliger om die pc ook als router te gebruiken.
Heren, laten we het gezellig houden 
, ik denk dat we de discussie router/switch een beetje moeten laten voor wat het is, zelf krijg ik altijd een wat nare smaak bij een router met ingebouwde switch. 't Topic moet natuurlijk wel open blijven zodat ik de pics kan posten
Omdat we toch niet de controle over het hele netwerk hebben (sommige bedrijven willen 1 UTP kabel met "internet") valt de VLAN/clone mac/switch discussie wat dood.
, ik denk dat we de discussie router/switch een beetje moeten laten voor wat het is, zelf krijg ik altijd een wat nare smaak bij een router met ingebouwde switch. 't Topic moet natuurlijk wel open blijven zodat ik de pics kan posten Omdat we toch niet de controle over het hele netwerk hebben (sommige bedrijven willen 1 UTP kabel met "internet") valt de VLAN/clone mac/switch discussie wat dood.
[ Voor 25% gewijzigd door Arnout op 31-03-2004 15:36 ]
Is inderdaad een vergissing, zie de reactie::
[...]
code:
"The shell stopped unexpectedly and Explorer.exe was restarted."
Inmiddels is het project bijna afgerond!
Server besteld en afgelopen week geinstalleerd. Zaterdag op locatie bezig geweest, en het werkte eigenlijk direct.
Uiteindelijk zijn het 5 bedrijven geworden, dus 6 nics in totaal. 1 nic onboard, het betreft hier een "Marvell Yukon Gigabit" Asus versie. De andere nics zijn Microtek's, 8139 chips. Werden direct herkent bij installatie (2.4.26 kernel).
Debian testing gebruikt, met de nieuwe installer geinstalleerd (2 floppy's netinstall).
Kernel 2.6.7 gedownload en gecompileerd.
De gebruikte firewall (gemaakt door Kaassoevlee ):
Voor meer systeeminformatie: http://bonnehus.xs4all.nl/phpsysinfo/
De oplossing heeft in totaal €400 + 10 manuren tijd gekost. Ik heb het idee dat dit één van de goedkoopste oplossingen is.
Ben nu nog bezig met telefonische nazorg.
Server besteld en afgelopen week geinstalleerd. Zaterdag op locatie bezig geweest, en het werkte eigenlijk direct.
Uiteindelijk zijn het 5 bedrijven geworden, dus 6 nics in totaal. 1 nic onboard, het betreft hier een "Marvell Yukon Gigabit" Asus versie. De andere nics zijn Microtek's, 8139 chips. Werden direct herkent bij installatie (2.4.26 kernel).
Debian testing gebruikt, met de nieuwe installer geinstalleerd (2 floppy's netinstall).
Kernel 2.6.7 gedownload en gecompileerd.
De gebruikte firewall (gemaakt door Kaassoevlee
):code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
| #!/bin/sh
echo "Firewall..."
IPTABLES=/sbin/iptables
EXTIF=ppp0
INTIFS=(eth1 eth2 eth3 eth4 eth5)
echo "External interface: ${EXTIF}"
echo "Internal interface(s): ${INTIFS[@]}"
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -i ! $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $EXTIF -j REJECT
for element in $(seq 0 $((${#INTIFS[@]} - 1)))
do
INTIF=${INTIFS[$element]}
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
done
$IPTABLES -A INPUT -p ICMP -i $EXTIF -j ACCEPT
$IPTABLES -A INPUT -p TCP --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p TCP --dport 80 -j ACCEPT
echo "Done!" |
Voor meer systeeminformatie: http://bonnehus.xs4all.nl/phpsysinfo/
De oplossing heeft in totaal €400 + 10 manuren tijd gekost. Ik heb het idee dat dit één van de goedkoopste oplossingen is.
Ben nu nog bezig met telefonische nazorg.
:strip_icc():strip_exif()/u/22646/crop6531f78f6a5cb_cropped.jpg?f=community)
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
:strip_icc():strip_exif()/u/17788/Anonymouse.jpg?f=community)
Ik heb ooit eens een bakkie gehad met 5 netwerkkaarten. Was destijds met Redhat.
Werken met handige gescripte tooltjes is behoorlijk af te raden want die gaan er vaak niet van uit dat je zoveel nic's hebt. (edit dus handmatig de configs als je wat aan moet passen)
Omdat dit teveel gepruts werd en ik het overzicht kwijt was heb ik Debian geinstalleerd en ik heb er geen spijt van gehad moet ik zeggen.
Ik zou Netwerkkaart voor Netwerkkaart er in prakken en na iedere config ff een reboot geven zodat Debian je iedere keer vraagt hoe de NIC ingesteld moet worden en
zodat je de NIC's van boven naar onder gesorteerd hebt (0-5 i.p.v. bijvoorbeeld 0,4,1,3,5,2)
Plak stickers aan de achterkant zodat je weet wat ETH0, ETH1... ETH5 is.
Ik heb destijds een vijftal LED's gepakt en in een loos 5.25 afdekkingskapje gaatjes geboord voor die dingen.
Vervolgens heb ik ze doorverbonden vanaf de LED's op mijn NIC.
(Let op! een LED is een Diode en heeft dus een polariteit; werkt het niet; ff draadjes omdraaien dus)
Zodoende kan je in 1 oogopslag zien welke NIC al dan niet verbonden is.
Suc6
Werken met handige gescripte tooltjes is behoorlijk af te raden want die gaan er vaak niet van uit dat je zoveel nic's hebt. (edit dus handmatig de configs als je wat aan moet passen)
Omdat dit teveel gepruts werd en ik het overzicht kwijt was heb ik Debian geinstalleerd en ik heb er geen spijt van gehad moet ik zeggen.
Ik zou Netwerkkaart voor Netwerkkaart er in prakken en na iedere config ff een reboot geven zodat Debian je iedere keer vraagt hoe de NIC ingesteld moet worden en
zodat je de NIC's van boven naar onder gesorteerd hebt (0-5 i.p.v. bijvoorbeeld 0,4,1,3,5,2)
Plak stickers aan de achterkant zodat je weet wat ETH0, ETH1... ETH5 is.
Ik heb destijds een vijftal LED's gepakt en in een loos 5.25 afdekkingskapje gaatjes geboord voor die dingen.
Vervolgens heb ik ze doorverbonden vanaf de LED's op mijn NIC.
(Let op! een LED is een Diode en heeft dus een polariteit; werkt het niet; ff draadjes omdraaien dus)
Zodoende kan je in 1 oogopslag zien welke NIC al dan niet verbonden is.
Suc6
-=@@D=- Macbook Pro 16"
Ziet er netjes uit hoor
Ik gebruik zelf Jay's Firewall.
Een absolute aanrader!
Eenvoudig (menugestuurd) beheer en alle opties die je wil. NAT, Firewallen, Wel of niet gepinged worden, Blacklist IP's / MAC's blocken etc. (Ik mis enkel QOS eigenlijk)
http://firewall-jay.sourceforge.net/debian/
of uiteraard
code:
1
| apt-get install firewall-jay |
in /etc/init.d komt fw-jay te staan.
Type firewall-config als root om de boel te configureren.
Heel relaxed.
-=@@D=- Macbook Pro 16"
@AADNOLL: uhmz, de boel draait al hoor
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
:strip_exif()/u/19799/lotr01_6060.gif?f=community)
en ook ff rebooten, want alleen je fstab aanpassen maakt er nog geen ext3 voor, je moet het filesystem umounten en opnieuw mounten.
Wat betreft die realtekkies: wat is de load van die bak als je over 6 nics tegelijk 100Mbit laat routeren?
het zijn switchende elementen, ik had het niet over op packet- of IP-niveau
Daarom heet een router ook wel een layer 3 switch Een 'gewone' switch is een layer 2 switch
[ Voor 5% gewijzigd door HunterPro op 22-06-2004 00:04 ]
:strip_exif()/u/10073/compu.gif?f=community)
om de verschillende bedrijven gescheiden te houden, zodat deze zonder verdere lastige maatregelen niet op elkaars netwerk kunnen
Denk het niet. Het ging vooral om een goedkope oplossing. Deze oplossing kost per bedrijf €11 per maand.
Om even een idee te geven van de grootte: het grootste bedrijf heeft 8 werkstations (waarvan 2 laptops).
Even een paar uurtjes in de iptables theorie duiken, daarna kun je best je eigen firewall ontwerpen. Mocht je er niet zeker van zijn dan test je het uitvoerig. Daarnaast heb ik meerdere debian servers draaien hier en daar en nog nooit problemen gehad met een insecure firewall. Zo moeilijk is iptables nu ook weer niet.
:strip_exif()/u/2251/colorman_60.gif?f=community)
Nee dat bedoel ik niet.:
[...]
Even een paar uurtjes in de iptables theorie duiken, daarna kun je best je eigen firewall ontwerpen. Mocht je er niet zeker van zijn dan test je het uitvoerig. Daarnaast heb ik meerdere debian servers draaien hier en daar en nog nooit problemen gehad met een insecure firewall. Zo moeilijk is iptables nu ook weer niet.
Ik vroeg me niet af waarom je ervoor kiest het "iptables" commando te gebruiken om je ruleset te creeren (ipv een gui/dialog pruts-ding). Maar wilde graag weten waarom je er voor kiest om een sh-script te gebruiken om deze regels weer te herstellen na bv een reboot. (ipv het mechanisme wat debian standaard zelf meebrengt)
Als je onder Debian nl het iptables pakket installeerd word er standaard in /etc/init.d een iptables init script neergekwakt. Dit script kent naast de standaard start/stop/status/reload init-script commands ook de commando's load en save.
Hiermee kun je een actieve (goed) geconfigde firewall-ruleset saven onder een willekeurige naam. Als dat script actief is (activeren via dpkg-reconfigure) zal het standaard bij het booten de opgeslagen ruleset met de naam active laden.
(en bij het platgaan de ruleset met de naam inactive
)