From: Frank Lorenzen (F.Lorenzen_at_gmx.de)
Date: 15. Mar 2001
On 14-Mar-2001 Mathias Waack wrote:
> Hi Mathias et all,
>
> On Wednesday 14 March 2001 17:23, Mathias Grün-Drebes wrote:
>> Geht es hier jetzt um EINEN LS oder um alle ?
>
> Um einen.
>
>> Normalerweise durch Änderung des Eintrags auf dem entsprechenden
>> Nameserver.
>
> Sowas macht das RZ.
> Nehmen wir mal an, dass ich das RZ moeglichst nicht involvieren
> moechte. Natuerlich nur um die Leute dort nicht mit zusaetzlichen
> Aufgaben zu belasten.
Dann lasst euch eine Sub-Domain geben zb. deinLS.deineUni.de und
lasst das RZ euren NS als "authoritative" einrichten.
Eure Rechner heissen dann zb. rechner1.deinLS.deineUni.de und
ihr koennt nach herzenslust Namen aendern, neue Rechner hinzufuegen
oder loeschen.
>
>> Will sagen: Nimm einen eigenen Rechner als Firewall/Router aber
>> lass keine anderen Sachen drauf
>> laufen. Jeder Zusätzliche Dienst macht das Ding angreifbarer.
>
> Ja, das weiss ich. Das faellt hier aber flach. Ich habe nur 2 Rechner
> zur Verfuegung. Einer ist Router und der andere Server fuer alle
> internen Sachen (DNS, NFS...) und von aussen nicht sichtbar. Somit
> muss alles was von aussen noch sichtbar ist, auf den Router mit
> drauf.
Hmmm, nimm einen Rechner als Router/Firewall und haeng den anderen
in die Demilitarisierte Zone, die ist ja dafuer da, dass man da
Rechner hinstellt, die von innen wie von aussen erreichbar sein sollen.
Wie man sowas macht ohne IPs zu verschleudern hatten wir ja gerade
gehabt --> "routing Problem".
>
>> Willst hinter die Firewall nur einen LS setzen reicht die als
>> Router. Sollen mehrere LS dahinter sein - dann solltest Du entweder
>> ein entsprechendes Gerät
>> einsetzen (bspw, Cisco 36XX ) oder Deinen Router mit mehreren
>> (evtl. auch Multiport)
>> NICs ausrüsten.
>
> Ersteres faellt wohl aus Kostengruenden aus. Letzteres lohnt sich
> (denk ich mal) nicht. Zum Apachen kommt ein Squid und das sollte fuer
> den normalen Betrieb reichen. Zu den Stosszeiten waehrend des
> Semesters haben die Studs dann eben einen kleinen Engpass beim
> Zugriff auf die aktuellen Boersendaten, was sie aber beim Loesen der
> Uebungsaufgaben nicht weiter behindern sollte.
;-)
>
>> > Und als naechsten Schritt wollte ich auf dem Router einen
>> > DNS-Server einrichten, damit wir uns eigene IP-Adressen geben
>> > koennen (die Dinger beim RZ zu beantragen ist immer ein rechter
>> > Krampf). Ausserdem kann ich dann unwichtige oder Windows-Rechner
>> > mit internen IP-Adressen versehen und die an der Firewall
>> > rausfiltern.
[...]
Wie gesagt, stell den DNS in die DMZ und mach das mit dem RZ wie oben
beschrieben. Du kannst, um fuer die noetige Redundanz zu sorgen auch
auf den master-NSsen der Uni eure subdomain als slave fuehren lassen,
damit ist die Namesauflösung immer noch gegeben wenn mal euer NS
ausfaellt oder euer Router im Eimer ist, die Freiheit jederzeit
was zu aendern bleibt aber bestehen.
>
>> Wenn Du nicht immer langwierig IP-Adressen beantragen willst,
>> dann lass Dir "extern" einen bestimmten Pool geben und verwende
>> "intern" einen privaten Adressbereich. Für die Rechner die nach
>> draussen sichtbar bleiben sollen richtest Du dann eine NAT ein.
>
> An sowas dachte ich. Allerdings gibt es innen noch einige Rechner,
> die von aussen sichtbar bleiben muessen, d.h. echte IP-Adressen
> haben. Aber das sollte ja auch kein Problem geben, oder?
Wenn ihr genügend IPs habt wuerde ich DNat und dergleichen schnell
wieder vergessen. Eine vernuemftige Wall bringt da mehr Fun und
du kannst easy die Rechner, die von aussen erreichbar sein sollen
auch erreichbar machen.
Ansonsten gibt es ja auch noch:
# apt-cache search rinetd
rinetd - Internet redirection server
Das _koennte_ aber Probs mit den Internen IPs geben, da bin
ich im Moment ueberfragt.
[...] --> SnippSchnapp <--
gruss
fisch
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET