From: Mathias Grün-Drebes (gdocr_at_gmx.de)
Date: 14. Mar 2001
Hallo Namensvetter,
dazu stelle ich folgendes zur Diskussion:
> um es gleich vorweg zu nehmen: ich bin kein Admin und habe auch nicht
> vor, einer zu werden.
Warum eigentlich nicht ?
Die Aufgaben scheinst Du ja schon zu übernehmen ;-) und Leute in der IT sind
gesucht...
>[...]
> Nun aber ziehen wir um und da wollte ich versuchen, einiges besser zu
> machen. Am besten moeglichst schrittweise.
Das ist immer gut - allerdings ziehen sich solche StepbyStep-Sachen meist
recht lange hin, und sind auch mit größeren Abstimmungproblemen verbunden.
> Als erstes wollte ich nicht wie bisher alle Rechner ueber diverse
> Switche irgendwie ins Netz haengen, sondern den gesamten LS hinter
> einem als Router konfigurierten Rechner.
Geht es hier jetzt um EINEN LS oder um alle ?
> Als naechsten Schritt wollte ich die Webserver des LS auf diesen
> Rechner umziehen lassen. Da ist schon das erste Problem - wie macht
> man das elegant? Ich dachte an sowas wie einen Port-redirecter, der
> alle Zugriffe von aussen auf Port 80 und beliebiger IP an
> localhost:80 umleitet. Klingt das vernuenftig? Alternativ koennte man
> ja auch einen redirect auf den jeweiligen Servern einrichten. Oder
> gibs es noch andere (bessere) Loesungen?
Normalerweise durch Änderung des Eintrags auf dem entsprechenden Nameserver.
> Anschliessend wollte ich auf dem Router alle ungenutzten Ports
> (telnet, nntp, rpc usw.) von aussen dicht machen. Insbesondere das
> NFS macht mir derzeitig Sorgen. Aber auch die Tatsache, dass sich
> immer noch viele Leute per telnet oder ftp direkt hier einloggen,
> gefaellt mir nicht (der LS unter uns war letztes Jahr unfreiwillig an
> einer groesseren DOS-Atacke beteiligt).
Hmm was Du willst ist eine Firewall.
Wenn es auch manch einen nerven mag - Eine Firewall ist eine Firewall ist
eine Firewall.
Will sagen: Nimm einen eigenen Rechner als Firewall/Router aber lass keine
anderen Sachen drauf
laufen. Jeder Zusätzliche Dienst macht das Ding angreifbarer.
Willst hinter die Firewall nur einen LS setzen reicht die als Router.
Sollen mehrere LS dahinter sein - dann solltest Du entweder ein
entsprechendes Gerät
einsetzen (bspw, Cisco 36XX ) oder Deinen Router mit mehreren (evtl. auch
Multiport)
NICs ausrüsten.
> Und als naechsten Schritt wollte ich auf dem Router einen DNS-Server
> einrichten, damit wir uns eigene IP-Adressen geben koennen (die
> Dinger beim RZ zu beantragen ist immer ein rechter Krampf). Ausserdem
> kann ich dann unwichtige oder Windows-Rechner mit internen
> IP-Adressen versehen und die an der Firewall rausfiltern.
Geht es hier jetzt um URL's oder um IP-Adressen ?
Wenn Du nicht immer langwierig IP-Adressen beantragen willst,
dann lass Dir "extern" einen bestimmten Pool geben und verwende "intern"
einen privaten Adressbereich. Für die Rechner die nach draussen sichtbar
bleiben sollen richtest Du dann eine NAT ein.
Geht es Dir um die Verwaltung der NAMEN dann solltest Du einen
Nameserver aufsetzen und Dir die entsprechende Zone delegieren lassen.
> Und als fast letzten Schritt wollte ich alle NFS-Laufwerke welche
> derzeitig auf diverse Suns verteilt sind, auf einen PC umziehen
> lassen, da sie dort komfortabler per LVM eingerichtet bzw. verwaltet
> werden koennen, und natuerlich IDE-Platten fuer PCs halt einfach
> billiger sind. (Hat da jemand Erfahrung, macht das von der
> Permformance her Unterschied ob der Server ne Sun oder ein PC ist?)
Hmmm - zum einen sind die SUNs schon recht performant - zum anderen
bieten sie wenn die Struktur verteilt ist bessere Ausfallsicherheit.
Zudem sind Sie meist mit Hardware-RAID ausgestattet.
Je nach dem wie "wichtig" die Daten und deren Verfügbarkeit sind,
solltst Du wenigstens 2 Rechner Redundant lauffen lassen.
Ob Du nun die SUNs weiterverwendest oder PC's mit Linux benutzt
macht sich in der Performance allerdings nur dann bemerkbar wenn wirklich
viele Verbindungen gleichzeitig offen sind.
[...]
CU
Mathias
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET