Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mailserver und Webserver in DMZ stellen

Frage Netzwerke

Mitglied: DieKatiRe87

DieKatiRe87 (Level 1) - Jetzt verbinden

08.04.2009, aktualisiert 17:29 Uhr, 7336 Aufrufe, 12 Kommentare

Hey,

ich würde gerne in der nächsten Zeit 1 Mailserver und 2 Webserver installieren und die drei Server sollen im Internet verfügbar sein über die DMZ.

Meine Frage ist jetzt, was für einen Provider brauche ich, um für die Server drei IP Adressen zu bekommen? Damit man jeden Server über das Internet ansteuern kann, Aber auch intern müssen die Server verfügbar sein.

Wie muss ich das ungefähr aufbauen?

Über Antworten würde ich mich sehr freuen.

Lg

Katrin
Mitglied: 45877
08.04.2009 um 17:35 Uhr
eigntlich kann dir jeder provider, der dir eine fest ip adresse besorgen kann, auch drei ips schalten lassn, gegen einen kleinen obulus versteht sich. die frage ist aber auch, warum du dafür drei ips brauchst und ob es nicht drei domains auf eine ip auch tun würden. du kannst auf einem webserver ja mehr als eine domain hosten. wie das geht kommt auf deinen webserver drauf an.
netzwerktechnisch brauchst du halt ne firewall die dann dnat für die externe ip oder den port wenn du es mit nur einer ip machst auf die maschine in der dmz macht.
Bitte warten ..
Mitglied: aqui
08.04.2009 um 17:39 Uhr
Du kannst jeden beliebigen Provider nehmen, denn diese Banalanforderungen kann heute jeder Provider bedienen.
Aufbauen tust du das am besten mit einer Firewall wie z.B.: M0n0wall

http://m0n0.ch/
http://forum.m0n0.ch/index.php?topic=1333.msg4344
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

oder IPcop:

http://www.ipcop-forum.de/manuals/examples/green-red-orange.png

oder Endian:

http://www.endian.com/de/products/features/network-security/

oder...oder...
Bitte warten ..
Mitglied: DieKatiRe87
08.04.2009 um 17:45 Uhr
Hi chewbakka,

vielen Dank für die Antwort.

Also der Webserver ist ein ganz normaler Linux Rechner Apace usw... (also beide Webserver)
Es sind drei verschiedene Geräte. Benötigt nicht jeder Rechner dann eine eigene IP?

Die drei Server sind mit einem normalen Netzwerk Switch verbunden. Und diesen Switch müsste ich dann mit der DNAT verbinden? Oder wie läuft das? Bis jetzt habe ich nur einen normalen Router.

Und wie läuft das andere? Also das mit dem Port?

Lg

Katrin
Bitte warten ..
Mitglied: DieKatiRe87
08.04.2009 um 17:51 Uhr
Hi aqui,

vielen Dank für die Antwort und die Links.

Die Server kommen ja dann hinter die Firewall? Wie stelle ich dass dann mit den IP Adressen bei den Servern ein? Bis jetzt hat jeder Server eine lokale IP.
Bitte warten ..
Mitglied: 45877
08.04.2009 um 17:53 Uhr
ein normaler wald und wiesen dsl router wird mit mehr als einer ip so seine probleme haben. wenn du nicht einen eigenen rechner nur als firewall laufen lassen willst besorg dir einen router auf der die dd-wrt (oder auch open-wrt) läuft.

gern genommen sind die aus der linksys wrt54 reihe (wobei man da ein wenig auf die version achten muss.
http://dd-wrt.com/wiki/index.php/Main_Page
Bitte warten ..
Mitglied: Arch-Stanton
08.04.2009 um 18:32 Uhr
Was nützen Ihr denn die tollen Tips mit den Selbstbauroutern, wenn es schon mit der Theorie hapert?

Für eine vernünftige Serveranbindung braucht es einen SDSL-Anschluß und ein kleines Transfernetz. Der Provider QSC bietet recht günstige Zugänge an (wenn man > 200 EURO / Monat als günstig bezeichnet) und kann einem auch ein paar zusätzliche IP-Adressen reichen. Wenn die Server nicht über port-Adressen wie www.soundso.de:80,8080,81 etc. angesprochen werden sollen, sind offizielle adressen ein Muss. Ansonsten kann man eine ainfache Portweiterleitung machen. Jetzt braucht man nur noch jemanden, der sich mit Routern auskennt (Selbstbau, Lancom, etc.) und es kann losgehen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
08.04.2009 um 18:58 Uhr
Arc h hat da leider nicht ganz Unrecht....
Auch eine fertige FW wird da dann nicht helfen...und sich auf Externe zu verlassen die schlimmstenfalls noch weniger wissen ist umso gefährlicher !!

"...dann mit den IP Adressen bei den Servern ein? "


A.: Eigentlich ganz einfach: Von deinem Provider der Wahl bekommst du ein kleines öffentliches Subnetz.
Aus diesem Subnetz gibst du dem Firewall Interface und den Servern IP Adressen aus diesem Netz.

Dan customized du über das Webinterface der Firewall die Accesslisten für den Zugriff von außen und von innen und gut ist.

Mit etwas Know How ist das recht einfach zu lösen...
Bitte warten ..
Mitglied: maretz
08.04.2009 um 21:58 Uhr
Moin,

also in der Theroie ist das ganz einfach zu lösen: Dein Webserver bekommt die IP 192.168.0.1, dein Mailserver 192.168.0.2. Dein Webserver bekommt 2 Virtual hosts -> a) www.domain1.de und b) www.domain2.de)

In deiner Firewall richtest du jetzt ein das alle Anfragen von extern an den Port 80 auf den Webserver weitergeleitet werden. Ebenfalls lässt du domain1.de und domain2.de auf deine öffentliche IP zeigen. Jetzt werden (bei richtiger Konfiguration) schonmal deine beiden Webserver durch einen ersetzt. Deinen Mailserver (kann - je nach wunsch - auch auf dem Webserver laufen) bekommt einfach alles was an deine Firewall auf Port 25 (ggf. 110 / 143 und falls gewünscht auch die entsprechenden Secure-Ports) geht.

Allerdings: BEVOR du das ganze Aufbaust würde ich empfehlen das du dich mit Firewalls usw. beschäftigst. Denn egal ob du jedem Server eine öffentliche IP gibst oder ob du domain1.de und domain2.de auf die Firewall laufen lässt --> du holst dir definitiv Angriffsversuche ins Netz (ich habe selbst hier einige öffentliche IPs @home - und habe auf den entsprechenden Maschinen (alles vm's) täglich bis zu 100 Angriffe wobei davon ggf. mal 1 - 2 wirklich so ernsthaft sind das die überhaupt ne Chance hätten durchzukommen). Daher gilt hier das du mit Grundkenntnissen in Linux und in der Firewall-Technik nicht weit kommst - ein solcher Server gehört vernünftig abgesichert... (Ok, es gibt genug mehr oder weniger offene Server weil die Admins es einfach nicht besser können - aber das sollte jetzt kein Grund sein das du es nicht besser machst, oder?).

Gruß

Mike
Bitte warten ..
Mitglied: DieKatiRe87
09.04.2009 um 09:22 Uhr
Vielen Dank für die vielen Antworten.


Was für eine Verbindungsgeschwindigkeit muss ich nehmen?
Bitte warten ..
Mitglied: maretz
09.04.2009 um 09:45 Uhr
Die Verbindungsgeschwindigkeit hängt von dem erwarteten Traffic ab...

Hast du z.B. einen sehr hohen Mail-Eingang (Catch-All-Adresse auf deinemn Mailserver und keinen vorgeschalteten Spamfilter z.B. beim Provider) kannst du damit rechnen das du eine recht hohe Empfangsgeschwindigkeit ("Download") brauchst. Bietest du auf deinem Webserver Daten zum Download an oder versendest du häufig grosse Dateien (im MByte-Bereich) brauchst du eine hohe Sende-Geschwindigkeit (Upload).

Daher kannst du hier ohne genaue Daten keine vernünftige Empfehlung bekommen... (Ich kenne Firmen die kommen mit 64 kbit noch hin - und ich kenne Firmen die 30 MBit schonmal auslasten können...)
Bitte warten ..
Mitglied: aqui
09.04.2009 um 10:28 Uhr
@maretz
In deiner Konstellation muss DieKatiRe87 aber gar keine öffentliche IP oder ein Subnetz vom Provider beantragen, da du dann ganz einfach mit Port Forwarding arbeitest was auch nicht so wirklich ein DMZ Konzept ist sondern mehr so ein halbes DMZ Konzept.

Für DieKatiRe87 reicht dann lediglich eine feste statische IP die sie vom provider bekommt und ggf. eine Domain darauf wenn sie nicht mit DynDNS Adressen arbeiten will !
Diese Lösung ist vermutlich erheblich preiswerter als ein öffentliches DMZ Subnetz zu beantragen.
Das generelle Problem beim Port Forwarding, so wie du es ihr beschreibst, holt sie aber beim Betrieb von 2 Webservern ein wie sie es vorhat.
Da du pro inbound Port nur eine einzige Port Forwarding Regel definieren kannst hast du bei 2 Webservern in so einer Lösung schon gleich das erste Problem, denn zu welchem willst du nun den Port TCP 80 forwarden....und was machst du dann mit dem 2ten Webserver ??
Bitte warten ..
Mitglied: maretz
09.04.2009 um 10:40 Uhr
Moin,

die Lösung ist bei NameBasedVirtual-Hosts recht einfach: Ich leite Port 80 an den *einzigen* Webserver weiter -> und aufgrund der Anfrage entscheidet der Webserver welche Seite er anzeigt...

Klar ist es nicht die DMZ-Lösung -> aber dafür eine Lösung die grade für Anfänger in dem Bereich vermutlich sicherer ist... Wenn ich nur Port 80 an den Webserver weiterleite und die Firewall den Rest schon vorher wegwirft dann habe ich zumindest da die Sache etwas einfacher... Denn dann brauche ich mich nicht gleich damit auseinandersetzen das jeder Dienst abgesichert wird (oder der komplett abgeschaltet wird) -> sondern kann erstmal davon ausgehen das eben nur Port 80 (d.h. der Webserver) als Schwachstelle gilt... Ich denke für jeden Anfänger gibt es allein da schon mehr als genug zu tun um das vernünftig hinzubekommen (Schwachstellen in der Webseite müssen ja trotzdem behoben werden!).

Stelle ich dagegen gleich n Server mit öffentlichen IPs ins Web muss ich mich gleich um das volle Programm kümmern... Alle Dienste, alle Webseiten, beim Mailserver die Relay-Funktion auch richtig ordentlich machen usw... -> für einen Anfänger rollt da gleich eine ganze Lawine los... Und ich glaube nicht das sowas dann auf dauer sinn macht oder gut geht... Daher der Vorschlag mit dem Forward -> und wenn man dann etwas erfahrung hat dann kann man ja immernoch eine öffentliche IP dazunehmen und die Server recht simpel umswitchen...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerke
TP-ER5120 DMZ für Webserver (13)

Frage von ajudran zum Thema Netzwerke ...

Informationsdienste
gelöst Dienstplan als ics bzw. ical-Datei zur Verfügung stellen (7)

Frage von FreshRawrr zum Thema Informationsdienste ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...