Re: dünner Router
Werner Gast <hausknecht@heidefewo.de> schrieb:
> ich denke darueber nach, meinen Internet-Router (DSL-Anschluss) Diskless
> zu machen, das seine betagte HD immer mehr Fehler meldet. Gibt es
> Sicherheitsbedenken, die dagegen sprechen, den Router von einem Server
> zu versorgen?
Rein konzeptionell würde ich den Router weitestgehend unabhänig vom
Server betreiben wollen. Das heißt, er sollte zumindest von alleine ohne
"Starthilfe" durch den Server hochfahren und seine Funktionalität
(Internetzugang) bereitstellen können.
Wäre doch dumm, wenn man den Server (wir sind hier in
linux.debian.user.german) nicht über das Internet neu installieren
könnte, weil der Internetzugangs-Router ohne laufenden Server nicht
funktioniert...
> Auf dem Router laeuft Shorewall. Er macht NAT. Aber das durfte dem
> diskless Betrieb nicht im Weg stehen.
> Worueber ich gerne mehr Sicherheit haette ist, ob es bedenklich ist,
> wenn der Router direkt auf eine HD-Partition auf dem Server zugreift.
> Hat jemand eine Idee oder gar Erfahrung wie kritisch das zu betrachten
> ist?
Er könnte sein Boot-Image über bootp von einem Server bekommen. Falls
man noch einen weiteren Rechner hat, könnte man das Image auf dem
anderen PC bereitstellen.
Nach dem Booten könnte alles über eine RAM-Disk laufen, Log-Dateien
könnte man über das LAN an einen syslogd auf dem Server wegschreiben.
Wenn man nicht jeden Pups mitprotokolliert, sehe ich da für den Server
nicht unbedingt ein großes Risiko.
Ich würde aber anstelle so einer Lösung den Router eher von CD booten
lassen, mit Konfiguration auf schreibgeschützter Diskette. Loggen via
syslogd auf den Server. Alternativ: IDE-Flashdisk, Loggen via syslogd.
Es gibt viele Möglichkeiten, sogar das komplette festplattenlose
Betreiben des Routers könnte man als Sicherheitsgewinn bezeichnen, wenn
man den Server dahinter entsprechend gesichert hat.
Mit Sicherheit ;-) ist das aber die aufwendigere Lösung, die zudem gut
durchdacht sein muss.
mfg.,
-ds-
Reply to: