From: Mathias Waack (mathias_at_atoll-net.de)
Date: 14. Mar 2001
Hi Mathias et all,
On Wednesday 14 March 2001 17:23, Mathias Grün-Drebes wrote:
> Geht es hier jetzt um EINEN LS oder um alle ?
Um einen.
> Normalerweise durch Änderung des Eintrags auf dem entsprechenden
> Nameserver.
Sowas macht das RZ.
Nehmen wir mal an, dass ich das RZ moeglichst nicht involvieren
moechte. Natuerlich nur um die Leute dort nicht mit zusaetzlichen
Aufgaben zu belasten.
> Will sagen: Nimm einen eigenen Rechner als Firewall/Router aber
> lass keine anderen Sachen drauf
> laufen. Jeder Zusätzliche Dienst macht das Ding angreifbarer.
Ja, das weiss ich. Das faellt hier aber flach. Ich habe nur 2 Rechner
zur Verfuegung. Einer ist Router und der andere Server fuer alle
internen Sachen (DNS, NFS...) und von aussen nicht sichtbar. Somit
muss alles was von aussen noch sichtbar ist, auf den Router mit
drauf.
> Willst hinter die Firewall nur einen LS setzen reicht die als
> Router. Sollen mehrere LS dahinter sein - dann solltest Du entweder
> ein entsprechendes Gerät
> einsetzen (bspw, Cisco 36XX ) oder Deinen Router mit mehreren
> (evtl. auch Multiport)
> NICs ausrüsten.
Ersteres faellt wohl aus Kostengruenden aus. Letzteres lohnt sich
(denk ich mal) nicht. Zum Apachen kommt ein Squid und das sollte fuer
den normalen Betrieb reichen. Zu den Stosszeiten waehrend des
Semesters haben die Studs dann eben einen kleinen Engpass beim
Zugriff auf die aktuellen Boersendaten, was sie aber beim Loesen der
Uebungsaufgaben nicht weiter behindern sollte.
> > Und als naechsten Schritt wollte ich auf dem Router einen
> > DNS-Server einrichten, damit wir uns eigene IP-Adressen geben
> > koennen (die Dinger beim RZ zu beantragen ist immer ein rechter
> > Krampf). Ausserdem kann ich dann unwichtige oder Windows-Rechner
> > mit internen IP-Adressen versehen und die an der Firewall
> > rausfiltern.
>
> Geht es hier jetzt um URL's oder um IP-Adressen ?
Hab ich URL oder IP-Adresssen geschrieben? ;)
> Wenn Du nicht immer langwierig IP-Adressen beantragen willst,
> dann lass Dir "extern" einen bestimmten Pool geben und verwende
> "intern" einen privaten Adressbereich. Für die Rechner die nach
> draussen sichtbar bleiben sollen richtest Du dann eine NAT ein.
An sowas dachte ich. Allerdings gibt es innen noch einige Rechner,
die von aussen sichtbar bleiben muessen, d.h. echte IP-Adressen
haben. Aber das sollte ja auch kein Problem geben, oder?
> Geht es Dir um die Verwaltung der NAMEN dann solltest Du einen
> Nameserver aufsetzen und Dir die entsprechende Zone delegieren
> lassen.
Letzteres geht wohl nicht. Ersteres kann doch aber trotzdem machen,
oder? Wenn ich einen eigenen DNS-Server fahre, sieht man das doch von
draussen nicht?
> Ausfallsicherheit. Zudem sind Sie meist mit Hardware-RAID
> ausgestattet.
Unsere ganz sicher nicht;)
> Je nach dem wie "wichtig" die Daten und deren Verfügbarkeit sind,
> solltst Du wenigstens 2 Rechner Redundant lauffen lassen.
Du denkst noch dran, dass es sich um eine Uni handelt? Hier gelten
regelmaessige Backups schon als Luxus, ein Backup-Plan als
ueberfluessig und redundant sind hier hoechstens die... aber ich will
nicht laestern.
Mathias
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET