Re: 2 Netzwerkkarte - getrennter Raum

[Timo Zimmermann <timo.zimmermann@xxxxxxxxxxxxx>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Markus Hochholdinger schrieb:
> 1. Du setzt arp Eintraege von eth0 und eth1 manuelle, aehnlich einer 
> transparenten Firewall.
das wollte ich eigentlich umgehen.

> 2. Du machst iptables Regeln auf dem Server mit den zwei Nics, sodass auf eth0 
> nur die Destination .2 angenommen wird und auf eth1 nur die .3.
Das war schon eher mein Gedanke.

> A. Waere es nicht besser einen extra IP-Adresse-Bereich zwischen gateway und 
> server einzurichten? Und noch besser, ein eigenes physikalisches 
> Netzwerksegment dafuer zu nutzen?
Es waere besser, das stimmt. Aber der Aufwand ist in diesem Fall etwas
zu hoch dafuer.

> B. Oder wenn es Dir nur um den Durchsatz geht, dann setze doch einfach 
> Kanalbuendelung ein (Stichwort: bonding).
Der Durchsatz ist eher unwichtig. Es geht nur darum, dass NFS z.B.
nicht den Durchsatz von Apache runter zieht und umgekehrt.

> Was ist eigentlich das Ziel? Lastverteilung oder Sicherheit?
Es geht fast nur um die Lastverteilung. Die Sicherheit im Haus ist so
weit kein Problem. Nur das, was extern kommt haette ich gerne auf einer
extra Schnittstelle um diese mit iptables usw. zu sichern.
Es laufen z.B. 2 Apache, ein NFS, Samba, 2x sshd, usw.
Die Schnittstelle im Haus muss ich nicht extra mit iptables so
einrichten, dass sie sicher ist, die nach aussen haette ich gerne nicht
komplett offen gehabt.

Gruss
Timo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFC8iUD9POHRdXL6EERArTUAJ4kRqC58Dpful+gt9s5GtWC59wNAgCfbjWS
+zHHiJvHLehMrjXsnoERm9Q=
=5Tt8
-----END PGP SIGNATURE-----