From: Mathias Waack (mathias_at_atoll-net.de)
Date: 14. Mar 2001
Hi all,
um es gleich vorweg zu nehmen: ich bin kein Admin und habe auch nicht
vor, einer zu werden.
Nun habe ich aber ein Problem, von welchem ich glaube, dass es
interessant genug ist, hier diskutiert zu werden.
In unserem Netzwerk haengen alle Lehrstuehle einer Fakultaet in der
gleichen Domain. Das hat sich in der Vergangenheit als ziemlich
laestig erwiesen (z.B. haben sich die Windoof-lastigen LS Firewalls
eingerichtet und beklagen sich jetzt ueber staendige Angriffe von
uns, dabei sucht da nur ein armer daemon seinen Licenseserver).
Nun aber ziehen wir um und da wollte ich versuchen, einiges besser zu
machen. Am besten moeglichst schrittweise.
Als erstes wollte ich nicht wie bisher alle Rechner ueber diverse
Switche irgendwie ins Netz haengen, sondern den gesamten LS hinter
einem als Router konfigurierten Rechner.
Als naechsten Schritt wollte ich die Webserver des LS auf diesen
Rechner umziehen lassen. Da ist schon das erste Problem - wie macht
man das elegant? Ich dachte an sowas wie einen Port-redirecter, der
alle Zugriffe von aussen auf Port 80 und beliebiger IP an
localhost:80 umleitet. Klingt das vernuenftig? Alternativ koennte man
ja auch einen redirect auf den jeweiligen Servern einrichten. Oder
gibs es noch andere (bessere) Loesungen?
Anschliessend wollte ich auf dem Router alle ungenutzten Ports
(telnet, nntp, rpc usw.) von aussen dicht machen. Insbesondere das
NFS macht mir derzeitig Sorgen. Aber auch die Tatsache, dass sich
immer noch viele Leute per telnet oder ftp direkt hier einloggen,
gefaellt mir nicht (der LS unter uns war letztes Jahr unfreiwillig an
einer groesseren DOS-Atacke beteiligt).
Und als naechsten Schritt wollte ich auf dem Router einen DNS-Server
einrichten, damit wir uns eigene IP-Adressen geben koennen (die
Dinger beim RZ zu beantragen ist immer ein rechter Krampf). Ausserdem
kann ich dann unwichtige oder Windows-Rechner mit internen
IP-Adressen versehen und die an der Firewall rausfiltern.
Und als fast letzten Schritt wollte ich alle NFS-Laufwerke welche
derzeitig auf diverse Suns verteilt sind, auf einen PC umziehen
lassen, da sie dort komfortabler per LVM eingerichtet bzw. verwaltet
werden koennen, und natuerlich IDE-Platten fuer PCs halt einfach
billiger sind. (Hat da jemand Erfahrung, macht das von der
Permformance her Unterschied ob der Server ne Sun oder ein PC ist?)
Ja, also das wollte ich einfach erzaehlen. Schliesslich lesen hier
Leute bei denen ich davon ausgehe, dass die deutlich mehr Ahnung
haben als ich. Mir geht es bei dem ganzen Projekt neben einer
Erhoehung von Sicherheit und Komfort auch noch darum, dass unsere
Studs (zumindest ein paar Interessierte) dabei was lernen koennen.
Und letzendlich ist alles natuerlich auch noch eine Kostenfrage.
Tja, Meinungen?
Gruss
Mathias
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET