Zwei Server (1x öffentl. IP, 1x interne IP)

[swiss80]

Hallo

Wir haben einen Webserver mit einer öffentlichen statischen IP (in den unteren Beispielen anonymisiert (111.111.111.225)). Der Webserver hat zwei Netzwerkkarten. Eine (eth0) ist am Internet angeschlossen, die andere (eth1) ist per interner IP-Adresse mit einem zweiten Server (Datenbankserver) verbunden:

Webserver:

Code: Alles auswählen

/etc/network/interfaces:
auto eth0
iface eth0 inet static
        address 111.111.111.225
        netmask 255.255.255.192
        network 111.111.111.192
        broadcast 111.111.111.255
        gateway 111.111.111.193
        dns-nameservers 123.123.123.1 123.123.123.2

auto eth1
iface eth1 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
#       gateway 192.168.1.1
        dns-nameservers 123.123.123.1 123.123.123.2


webserver:/# route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
111.111.111.192 0.0.0.0         255.255.255.192 U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         111.111.111.193 0.0.0.0         UG    0      0        0 eth0

Datenbankserver:

Code: Alles auswählen

/etc/network/interfaces:
auto eth0
iface eth0 inet static
        address 192.168.1.2
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1
        dns-nameservers 123.123.123.1 123.123.123.2


datenbankserver:/# route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Vom Webserver kann ich problemlos nach aussen (Internet) und auf den Datenbankserver (ping 192.168.1.2) pingen.
Vom Datenbank-Server kann ich den Webserver (ping 192.168.1.1) anpingen, aber ich bekomme keine Verbindung nach aussen. Wo kann das Problem liegen?
Ich richte zum ersten Mal zwei getrennte Server (Web und Datenbank) ein, daher kann es gut sein, dass ich etwas ganz einfaches vergessen habe? Aber ist halt schwer, im Forum oder bei Google zu suchen, wenn man nicht weiss, nach was...

Auf beiden Servern ist Sarge installiert.

Oder kennt jemand ein gutes How-to, wie man Schritt für Schritt eine solche sichere Webserver-Kombination einrichtet mit einem separaten Datenbank-Server, der nicht direkt im Internet steht?

[Fuffi]

Hallo

ich denke mal du hast das forwarding bzw. masquarading nicht aktiviert.
siehe
http://www.debianforum.de/wiki/?page=Ch ... etprobleme
bei Punkt 7.

Schöne Grüsse

Fuffi

[swiss80]

Tja, genau das war es! Danke

[swiss80]

Jetzt hab ich doch noch ein Problem:

Nach dem Neustart war das Masquerading wieder weg. In einem anderen Thread habe ich gelesen, dass man die iptables-Regel mit

/etc/init.d/iptables save active

speichern kann...
Nur: Bei mir gibt's kein iptables im Verzeichnis /etc/init.d ! Aber "apt-get install iptables" meldet: "iptables ist schon die neuste Version"...

Also hab ich (wie auf einer anderen Seite gelesen) eingegeben:

iptables-save > /var/lib/iptables/active

Aber so komm ich auch nicht weiter.

FRAGE: Gibt es keine andere Möglichkeit des Masquerading, OHNE iptables?

[cosmac]

Gegenfrage: warum muss der Datenbank-Server ins Internet?
Hat man den nicht gerade deshalb vom Webserver getrennt, damit er
nicht mit dem Internet verbunden ist? Fuer einzelne Anwendungen kann
man andere Loesungen finden, z.B. Squid auf dem Web-Server, damit man
security.debian.org vom Datenbank-Server aus erreichen kann usw.