Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Debian v-Server mit Squid-FTP oder Samba-OpenVPN und Webserver - Einsteiger Fragen

Frage Internet Server

Mitglied: m.reeger

m.reeger (Level 2) - Jetzt verbinden

11.01.2014, aktualisiert 19:15 Uhr, 2901 Aufrufe, 5 Kommentare

Hallöchen liebe Admins,

ich habe daheim einen kleinen Raspi stehen mit Debian Wheezy, da läuft Samba, ProFTPd, Apache2, MySQL und ein Squid drauf.

Nun habe ich von einem befreundeten Server anbieter, eine kleine Linux Kiste bekommen.
1GB RAM, 40GB HDD, 4x 3,2 GHz, 1 GBIT Anbindung

Auf dem Server ist Debian 6 installiert und ich versuche den Server im Moment ein wenig einzurichten scheitere aber klägilich dran!

Folgendes Szenario soll realisiert werden:

Habe bei dem Anbieter auch einen "großen" Windows Dedicated Server (2012R2 Datacenter, 13VM's), da ist unteranderem ein SQL, Exchange und Webserver mit drauf. Alles auf M$ basis.

Ich wollte nun gerne den kleinen V-Server zum absichern des ganzen Systems nutzen.
Squid 3 als Reverse Proxie z.B für die OWA Schnittstellen, Active Sync etc (gibts hier auch ne wunderbare Anleitung!)
OpenVPN um alle Windows Systeme via VPN zu vernetzten, dass die Server nicht mehr offen im Netz stehen.
Daheim habe ich auch noch einen TP-Link mit DD-WRT Firmware dieser soll sich dann auch mit dem OpenVPN Server verbinden.

Zu hause in einer Test-VM läuft der FTP/Samba Server zuverlässig und ohne Probleme, auf der VM im RZ kann ich mich leider mit keinem Benutzer authentifizieren, weder "root" "ftp" oder andere angelegt User.

Hier mal eine Visio Skizze, was ich meine:
48ebf3667665c93605a67cd84227ea5d - Klicke auf das Bild, um es zu vergrößern


Was für Tipps könnt ihr mir sonst zur Absicherung geben?
SSH Port würde bereits geändert, root darf sich nicht via SSH einloggen, IPTabels muss ich mich noch reinfriemeln.

Schon mal vielen Dank für eure Antworten!
Gerne nehme ich auch Installations Angebot zu einem Moderaten Preis an!
Mitglied: szifer
11.01.2014 um 23:15 Uhr
Ist nicht ganz einfach bei Deiner Beschreibung durchzublicken was jetzt eigentlich Deine Frage ist

Also zum härten würde mir spontan noch fail2ban einfallen. Und vielleicht noch keyfile basierte Authentifizierung für SSH.

Und Du willst jetzt den Squid per VPN mit den virtuellen Windows Maschienen vernetzen um den als Reverse-Proxy zu nutzen? Treibt das nicht die Latenz zu hoch? Und was haben jetzt Deine Kisten Zuhause damit zu schaffen?

Und auf welchen Dienst versuchst Du bei der Squid Kiste zuzugreifen? Also generell müssen natürlich die Ports offen sein, ist aber klar denke ich. Außerdem kannst Du mal Configs der Dienste Checken, da kann man oft angeben auf welchen Adressen die lauschen.

LG
Bitte warten ..
Mitglied: m.reeger
12.01.2014, aktualisiert 13.01.2014
Danke für die Antwort!

Es geht mir um die Funktionalität ob das ganze so realisiert werden kann.

Ich würde statt den öffentlichen IP's nämlich lieber Private Adresse nehmen (10.136.31.xxx)
Nur bekomme ich das ganze so geroutet?

Das Heimnetzwerk soll mit ins VPN, damit ich die Server Administrieren kann, möchte nicht mehr offene WIndows RDP Kisten mit 1,0GBit Glasfaser Anbindung am DE-CIX offen im Netz stehen haben...

Der SQUID soll nur zur veröffentlichung von Outlook Web App und Active Sync dienen, sowie meinem Netzwerkverkehr von daheim soll auch übern SQUID laufen.

Der VPN soll lediglich der SIcherheit dienen.
Bitte warten ..
Mitglied: aqui
12.01.2014, aktualisiert um 17:58 Uhr
ICMP (Ping) solltest du auch abschalten um nicht Port oder Ping Scannern noch zu zeigen das da nochwas zum angreifen ist. Das geht mit
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Ansonsten apt-get install fail2ban wie oben bereits erwähnt ist sicher nicht falsch und keinen Root Login zulassen /etc/sudoers entsprechend anpassen.
Kannst du dir ja vom RasPi abgucken und üben der hat das ja entsprechend !
VPN mit "ike" (Linux Version des Shrew Clients) oder OpenSwan ist natürlich noch sicherer. Grundlagen dafür mit IPsec findest du hier im Forum.
Hier sind ein paar weitere Grundlagentips zu Debian:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
Und das "möchte nicht mehr offene WIndows RDP Kisten mit 10GBit Glasfaser Anbindung am DE-CIX offen im Netz stehen haben..." ist wohl eher Wunschdenken eines Traumtänzers denn Realität...?!
Bitte warten ..
Mitglied: 108012
12.01.2014 um 22:21 Uhr
"möchte nicht mehr offene WIndows RDP Kisten mit 10GBit Glasfaser Anbindung am DE-CIX offen im Netz stehen haben..."
Vor allem wollen die das beim DE-CIX garantiert nicht! Denn das ist zur zeit wohl das
aller letzte was die sich vorstellen können, Windows Server ohne Firewall davor in
deren Netzwerk! Des weiteren ist das so wie ich das sehe irgend wie auch nicht
so logisch wie Du das haben möchtest, ich habe das einmal aufgezeichnet so
wie Du es hier erfragt bzw. beschrieben hast und ich es verstanden habe.

Du willst von zu hause aus über den Squid Proxy auf die Server im anderen Rechenzentrum
zugreifen, ist das so richtig?

c432ebf7a26c6221e5214124f194d31b - Klicke auf das Bild, um es zu vergrößern








Wenn dem so sein sollte, und ich will jetzt unken, aber dann würde ich an Deiner Stelle einfach eine
kleine Soekris net6501 kaufen und sie zu Hause hinstellen, das Geld hast Du nach einem halben Jahr
durch Einsparungen wieder raus. Und eine IP mit Domain kann man auch mieten!

Gruß
Dobby
Bitte warten ..
Mitglied: m.reeger
13.01.2014 um 08:17 Uhr
Ich bitte um Verzeihung es sind 1,0 GBit Anbindung, die fest zugesichert sind.

@D.o.b.b.y
Genau so meinte ich das

Besten Dank für den Tipp.
Bitte warten ..
Ähnliche Inhalte
Ausbildung
Fragen über das Honorar von einem Einsteiger
Frage von GemeinerPinguinAusbildung8 Kommentare

Hallo liebe Administrator.de Gemeinde! Ich bin derzeit am Weg zum Selbstständig machen und wollte nachfragen, was für die folgenden ...

Apache Server
Apache Webserver V-Host .htaccess Frage
gelöst Frage von Andi2401Apache Server5 Kommentare

Hallo Admin`s, wir haben einen Webserver wo mehrere Webseiten betrieben werden, und diese funktionieren auch hervorragend. Ich habe auch ...

Linux Netzwerk
OpenVPN-Client: WebServer,DNS-Server und andere Dienste erreichbar machen?
Frage von L-T-X-YLinux Netzwerk1 Kommentar

Guten Abend, Ich hoffe jemand kann mir netterweise meine Frage beantworten, Zu meinem Vorhaben: Ich habe Zuhause einen HP-Server ...

Backup
FTP und SQL Backup vom Webserver
gelöst Frage von DPiegzaBackup4 Kommentare

Hallo zusammen, Ich habe einen Webshop bei 1&1 und möchte eine voll automatische Sicherung von den Dateien und der ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 3 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 5 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...