Hosting serveru: Porovnání verzí

Z LFS Manual
Skočit na navigaciSkočit na vyhledávání
Řádka 50: Řádka 50:
 
== Bezpečnost- '''''tuff stuff''''' ==
 
== Bezpečnost- '''''tuff stuff''''' ==
 
VAROVÁNÍ: z této kapitoly můžete dostat závrať nebo Vás může uspat.
 
VAROVÁNÍ: z této kapitoly můžete dostat závrať nebo Vás může uspat.
Problém s externím firewallem je ten, že nevidí, jaká aplikace požaduje přístup na internet. potřebuje pravidla pro traffic. Prvním pravidlem bývá ZAMÍTNI VŠE. Vše je tedy blokováno pokud neexistuje pravidlo, které určitý požadavek povolí. Příklad: [PC1] => [PC2] => [Router s NAT a firewallem] => [internet] => [LFS host@port 63392] [PC3]. PC1 se chce p5ipojit k LFS serveru, tedy jeho IP adrese a na portu 63392. Aby tento požadavek prošel routerem, musí mít router pravidlo: povol  připojení PC1 k LFS serveru na té a té IP adrese a portu 63392. Na světě ale neexistuje pouze jeden LFS server a tak musíme upravit naše pravidlo takto: povol připojení PC1 k jakémukoliv serveru na portu 63392. Pokud chcete povolit přístup na LFS server více lidem z Vaší sítě, upravite pravidlo: povol jakémukoliv PC připojení k jakémukoliv serveru na portu 63392.
+
Problém s externím firewallem je ten, že nevidí, jaká aplikace požaduje přístup na internet. potřebuje pravidla pro traffic. Prvním pravidlem bývá ZAMÍTNI VŠE. Vše je tedy blokováno pokud neexistuje pravidlo, které určitý požadavek povolí. Příklad: [PC1] => [PC2] => [Router s NAT a firewallem] => [internet] => [LFS host@port 63392] [PC3]. PC1 se chce připojit k LFS serveru, tedy jeho IP adrese a na portu 63392. Aby tento požadavek prošel routerem, musí mít router pravidlo: povol  připojení PC1 k LFS serveru na té a té IP adrese a portu 63392. Na světě ale neexistuje pouze jeden LFS server a tak musíme upravit naše pravidlo takto: povol připojení PC1 k jakémukoliv serveru na portu 63392. Pokud chcete povolit přístup na LFS server více lidem z Vaší sítě, upravite pravidlo: povol jakémukoliv PC připojení k jakémukoliv serveru na portu 63392.
 
To už není zlé. Odchozí traffic přes určitý port již máme zaručený (například pro brouzdání internetem potřebujeme povolit port 80 (http)).
 
To už není zlé. Odchozí traffic přes určitý port již máme zaručený (například pro brouzdání internetem potřebujeme povolit port 80 (http)).
 
Ale LFS může jakýkoliv port a vy si ve firewallu vyrobíte opravdu velkou bezpečnostní díru: povol jakémukoliv PC připojení k jakémukoliv serveru na jakémkoliv portu.
 
Ale LFS může jakýkoliv port a vy si ve firewallu vyrobíte opravdu velkou bezpečnostní díru: povol jakémukoliv PC připojení k jakémukoliv serveru na jakémkoliv portu.

Verze z 21. 11. 2006, 09:48

Určení potřebné šířky přenosového pásma

Potřebná šířka přenosového pásma (bandwidth) roste přibližně s druhou mocninou počtu hráčů. Musíte dát pozor, abyste not so set your limits too high, protože by docházelo k lagům. Plný počet hráčů na serveru vyžaduje velkou šířku přenosového pásma. Maximum v S2 je více než dvakrát větší než maximum v S1. Uvedená tabulka je v KB/s. Pro hodnoty v Kb/s je vynásobte osmi.

  1. 4 hráči, 4 auta : 4.9 KB/s
  2. 8 hráčů, 8 aut : 21.4 KB/s
  3. 11 hráčů, 11 aut : 41.6 KB/s (demo max)
  4. 12 hráčů, 12 aut : 49.9 KB/s
  5. 15 hráčů, 15 aut : 79.1 KB/s (S1 max)
  6. 16 hráčů, 16 aut : 90.4 KB/s
  7. 20 hráčů, 20 aut : 142.9 KB/s
  8. 23 hráčů, 20 aut : 165.9 KB/s (S2 max)

Hosting pro začátečníky

Tento krátký návod by měl pomoci lidem porozumět základům hostingu. Snažil jsem se vynechat příliš technické termíny, ale některé získat některé základní vědomosti je nutné, takže pojďme na první kapitolu: Základy internetu

Základy internetu

Veškerá internetová komunikace se sestává ze tří částí: IP adresy: to je buď vaše adresa nebo adersa hosta, ke kterému se připojujete. Porty slouží k oddělení datového toku a umožňují existenci různých služeb (třeba http @ port 80, https @ port 443) anebo programů běžících pod jednou IP adresou. Protokol je jazyk komunikace. Pro LFS potřebujeme TCP a UDP. TCP používa pro každý paket "Handshake", takže každý odeslaný paket je potvrzen. To sice zvětšuje datový tok, ale je to bezpečné a odesílatel má jistotu, že paket byl doručen. TCP rovněž automaticky znovu posílá pakety, které byly ztraceny. LFS používá TCP pro řízení dat, například při restartech. UDP jsou určeny pouze pro odesílání a doufají, že dorazí k cíli. Je to mnohem rychlejší způsob, ovšem méně spolehlivý. LFS využívá UDP pro odesílání pozice vozu. Abychom byli schopni komunikovat, potřebujeme také hardware: NIC: síťová karta (network interface card). Routery směrují datový tok. Služby: DNS dynamické jméno serveru (dynamic name server) pomáhají při adresování hostů. Nemusíte si proto pamatovat 66.102.11.99, ale stačí zadat www.google.com. DNS není pro LFS nezbytně nutná, ale je užívána pro vše ostatní... Bezpečnost: firewall je systém nebo program, který umožní odesílat a přijímat jen povolený datový tok . A nakonec ještě pár dalších termínů: DHCP konfigurační protokol dynamického hosta (dynamic host configuration protocol). Systém automatického přidělování volných IP adres. Slouží ke snižování počtu nepoužívaných IP adres. Some ISPs force a new IP adresy every now and then. Veřejná IP adresa je taková IP adresa, pomocí níž se připojujete k internetu anebo ke které se připojujete. Tato adresa musí být jedinečná (obdržíte jí od Vašeho poskytovatele z jeho DHCP serveru. Je též nazývána "venkovní" IP adresa. Privátní IP adresu Vám přiřadí Váš domácí router. Tato adresa bývá přidělována v určitém rozmezí. Běžné rozmezí je: 10.x.x.x, mnohem běžnější býva rozmezí 192.168.x.x a dále pak 172.16.x.x. Tato adresa bývá také nazývána jako "vnitřní" adresa. NAT: síťový adresový překlad (network adress translation). Toto je velmi chytrý systém, který Vás chrání před internetem a umožňuje využívat několik počítačů pro přístup na internet. NAT překládá Vaši privátní IP adresu na veřejnou IP adresu, abyste byli schopni se na internet dostat. Uvedli jsme si mnoho nových věcí a termínů, ale je to nezbytné, abysme pochopili proč potřebujeme port-mapping.

Jak to funguje

Jak funguje internet

Jednoduchý příklad: [PC1] => [internet] => [www.google.com] [PC3]. Vaše PC má platnou veřejnou IP adresu a chcete brouzdat po stránkách www.google.com. Vaše PC nejprve provede DNS překlad, aby našel veřejnou adresu www.google.com. HTTP využívá port 80, takže Vaše PC se na veřejnou adresu Googlu připojí přes port 80 a vy si můžete číst na jejich stránkách. Co už ale nevidíte je to, že Vaše používá pro spojení s Googlem volný port nad 1024, řekněme třeba 1050. Co se tedy opravdu děje: Váš počítač pro odchozí traffic otevře port 1050 a vyšle požadavek na server Googlu a to na port 80. Server otevře požadovaný soubor a odešle jej zpět přes port 1050.

Příklad s NAT: [PC1] => [PC2] => [router with NAT] => [internet] => [www.google.com.] [PC3]. Váš počítač má platnou vnitřní IP adresu a router platnou veřejnou IP adresu. Vaše PC požádá o stránku na Googlu přes port vyšší než 1024, dejme tomu 1050. Žádost projde přes router a je jí přidělena IP adresa Vašeho routeru a je též odeslána jiným portem, například 23050. Google odpoví vašemu routeru (tedy na jeho veřejnou adresu) na portu 23050 a router si pamatuje, ze to bylo vaš počítač, Vaše IP adresa a Váš port, který vysílal požadavek a pošle mu odepověď z Googlu (tedy Vaší IP adrese a na portu 1050). LFS server využívá jako výchozí port port 63392, což znamená, že Váš počítač používá port vyšší než 1024 a připojuje LFS hostu na portu 63392. LFS může využívat jakýkoli port. Nyní přejděme k bezpečnosti.

Bezpečnost

Pukud jste připojeni k internetu, nabývá otázka bezpečnosti velký význam. "Venku" jsou hackeři a internetem se šířící viry, které chtějí zkazit Vaši radost. Je to jako na demo serverech :) Pro vlastní ochranu musíte použít firewall. Nejběžnějším je firewall integrovaný přímo ve Windows XP. Automaticky se zapne jakmile povolíte sdílení. Windows XP SP2 ho dokonce mají zapnutý již ve výchozím stavu. Dalším rozšířeným řešením je "Osobní firewall". je to aplikace, která je spuštěna na Vašem počítači. Zajišťuje, že se k internetu připojí jen povolené programy. Princip je takový, že pokud se nějaký nový program pokusí připojit k internetu, objeví se okno s dotazem, zda chcete toto připojení povolit, zakázat nebo povilit trvale. Dalším řešením bývá další hardware. Buď počítač nebo "Blackbox" (černá skříňka). Černou skříňkou označujeme systém s neznámým operačním systémem a neznámým firewallem. Doma to nejčastěji bývá Váš gateway. To je ta malá krabička se spoustou světýlek :) Může také běžet na jiném počítači, využívajícím Linux (nebo jiný unixovský operační systém; FreeBSD je bezpečný a velmi oblíbený). Pokud ale mate doma toto řešení, pravděpodobně nejste začátečník a nepotřebujete číst tento návod. Další řešení router/firewall poskytuje NAT. NAT se ve výchozím stavu chová tak, že skrz router neprojde zvenčí nic a naopak povolí všechny požadavky zevnitř. Určit problém s firewallem bývá těžké. Často prostě jen nefunguje bez jakéhokoliv chybového hlášení. Traffic, který router zablokoval, byste měli vidět v logu, který router vytváří. Hledejet záznam o tom, že paket zaslaný na port 63392 (nebo jiný Vámi zvolený LFS port) byl zablokován. Ještě Vás to neodradilo? Chcete si nechat ještě více zamotat hlavu? Přejděme tedy k Bezpečnosti- tuff stuff. Nebo si hlavu chcete nechat zamotat o něco méně? Pak přejděte si přečtěte LFS hosting s firewallem. Nebo taky Proč potřebujeme port mapping.

Bezpečnost- tuff stuff

VAROVÁNÍ: z této kapitoly můžete dostat závrať nebo Vás může uspat. Problém s externím firewallem je ten, že nevidí, jaká aplikace požaduje přístup na internet. potřebuje pravidla pro traffic. Prvním pravidlem bývá ZAMÍTNI VŠE. Vše je tedy blokováno pokud neexistuje pravidlo, které určitý požadavek povolí. Příklad: [PC1] => [PC2] => [Router s NAT a firewallem] => [internet] => [LFS host@port 63392] [PC3]. PC1 se chce připojit k LFS serveru, tedy jeho IP adrese a na portu 63392. Aby tento požadavek prošel routerem, musí mít router pravidlo: povol připojení PC1 k LFS serveru na té a té IP adrese a portu 63392. Na světě ale neexistuje pouze jeden LFS server a tak musíme upravit naše pravidlo takto: povol připojení PC1 k jakémukoliv serveru na portu 63392. Pokud chcete povolit přístup na LFS server více lidem z Vaší sítě, upravite pravidlo: povol jakémukoliv PC připojení k jakémukoliv serveru na portu 63392. To už není zlé. Odchozí traffic přes určitý port již máme zaručený (například pro brouzdání internetem potřebujeme povolit port 80 (http)). Ale LFS může jakýkoliv port a vy si ve firewallu vyrobíte opravdu velkou bezpečnostní díru: povol jakémukoliv PC připojení k jakémukoliv serveru na jakémkoliv portu. Správci podnikových sítí většinou do pravidel firewallů nechtějí operator JAKÝKOLIV používat, protože ztrácejí kontrolu nad trafficem. A třikrát JAKÝKOLIV v jediném pravidlu je něco, co opravdu nechcete. Proto může být hraní LFS za podnikovým routerem oříškem. Provozování LFS serveru za podnikovým routerem je většinou nemožné... Pravidlo "Vše ven povol a vše dovnitř zakaž" bývá dobrým řešením pro domácí firewally. Ale pokud stáhnete program, řekněme Crack.exe, což je ve skutečnosti program, zjišťujícím udaje o Vašem bankovním učtu a posílá je ven, nikdy to nezjistíte bez Osobního firewallu. Ale... kdo spouští programy stažené z internetu bez antivirové ochrany? :)

LFS hosting s firewallem

VAROVÁNÍ: tato kapitola je rovněž tuff Díky pravidlu "Zakaž vše příchozí" musíte vytvořit pravidlo pro LFS hosta. Váš firewall musí povolit příchozí traffic na port 63392 (nebo jakýkoliv jiný, který jste si zvolili). Nezapomeňte, že LFS používá jak TCP tak UDP protokoly. Pravidlo bude tedy vypadat takto nějak: povol všem IP adresám připojit se k Vašemu LFS hostovi na portu 63392 (a to jak TCP tak UDP). Některé firewally mají problém s UDP. Pokud je to Váš případ, server bude vidět na seznamu LFS serverů, ale nikdo nebude schopen se připojit. Proto když testujete, doporučuju vypnout Osobní firewall, zvlášť pokud jste za routerem s NAT. Jen ho nezapomeňte znovu spustit až s pokusy skončíte. (Pro domácí uživatele s trvalými gateways to znamená přepojení kabelů a zmenu nastavení. Toto nedoporučuju. Pokud nastavujete LFS server za domácí gateway, bude nejlepším řešením poprosit kamaráda, aby se k vašemu serveru zkusil připojit. ) Určit problém s firewallem bývá těžké. Často prostě jen nefunguje bez jakéhokoliv chybového hlášení. Traffic, který router zablokoval, byste měli vidět v logu, který router vytváří. Hledejet záznam o tom, že paket zaslaný na port 63392 (nebo jiný Vámi zvolený LFS port) byl zablokován. Teď bychom již mohli porozumět tomu proč potřebujeme port mapping.

Proč potřebujeme port mapping

Pokud jste vytvořili LFS server, určitě chcete, aby se k Vám mohli připojovat hráči. Vraťme se zpět k příkladu s routerem s NAT: [PC1] = [PC2] = [router s NAT] <= [internet] <= [spuštěné LFS] [PC3]. Router blokuje veškerý provoz z vnějšku. Proto vytvoříme port mapping, abychom řekli routeru, že toto je traffic, který chceme povolit. Port mapping říká routeru, že veškerý traffic na port 63392 z vnějšku bude přesměrován na určitou IP adresu uvnitř a to na port 63392. Nezapomeňte: port mapping musí zahrnovat jak TCP tak UDP. Jak se toto nastavuje, záleží na typu Vašeho routeru. Většina domácích routerů disponuje webovým rozhraním, některé využívají program běžící na Vašem počítači. Některé routery využívají přístup přes telnet (Start - Spustit - cmd - telnet 10.0.0.1 (nebo 192.168.0.1 nebo 192.168.1.1 nebo jakákoliv jiná IP adresa Vašeho routeru.) Přečtěte si manuál, podívejte se do FAQ vašeho poskytovatele nebo se ho zeptejte. Většina domácích gateway se konfiguruje přes webové rozhraní. Spusťte webový prohlížeč a napište do adresového řádku http://192.168.0.1 (prostě tu správnou IP adresu.) Zcela jistě budete požádáni o vyplnění uživatelského jména a hesla.