thobro Geschrieben 20. Mai 2009 Teilen Geschrieben 20. Mai 2009 Hallo Leute, ich habe einmal eine kurze Frage. Ich habe jetzt meinen Provider gewechselt und von dem noch einen Router bekommen, den ich VOR meine bereits vorhandene Fritz!Box 7170 geschaltete habe. an der Fritz!Box hängt ein Switch und an dem Switch hängen meine Clients und auch ein Windows 2003 Server und ein Debian (Lenny 5.0.1) Server. Der Debianserver soll meine Schnittstelle LAN/Internet sein und ich habe mir gedacht das ich ihn als Router zwischen den beiden Netzen konfiguriere. Jedoch will ich auf meinen bisherigen Komfort (hier vor allen Dingen Java-Chats, Videokonferenzen mittels Messanger [iCQ, MSN, Y!M]) nicht verzichten. Wie kann ich das möglichst schnell und einfach einrichten, weiss das jmd? oder muss ich hier wirklich Abstriche machen ? Danke schonmal für Eure Hinweise .... Thomas Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 20. Mai 2009 Teilen Geschrieben 20. Mai 2009 Ich habe jetzt meinen Provider gewechselt und von dem noch einen Router bekommen, den ich VOR meine bereits vorhandene Fritz!Box 7170 geschaltete habe. Warum Du das machst, ist mir für ein privates Netz nicht ersichtlich. Vor allen nur weil da zwei Router installiert sind, heißt es noch lange nicht, dass es sicherer wird Der Debianserver soll meine Schnittstelle LAN/Internet sein und ich habe mir gedacht das ich ihn als Router zwischen den beiden Netzen konfiguriere. Was ist bitte eine "Schnittstelle"? Soll der Debian Server noch als weiterer Router zwischen die bestehenden gesetzt werden, wo ist da bitte der Sinn? Oder soll er als (transparenter) Proxy fungieren? Entsprechende fachliche Termini helfen Dein Problem richtig zu beschreiben. Jedoch will ich auf meinen bisherigen Komfort (hier vor allen Dingen Java-Chats, Videokonferenzen mittels Messanger [iCQ, MSN, Y!M]) nicht verzichten. Aha, und was hindert Dich daran, diese zu benutzen? Wie kann ich das möglichst schnell und einfach einrichten, weiss das jmd? oder muss ich hier wirklich Abstriche machen ? "Schnell" ohne das notwendige Know-How sicher nicht. Zusätzlich würde ich hier kein Newbie-Tutorial verfassen, wie man mal eben schnell einen Router konfiguriert bzw ein Linux sicher macht, denn dazu gehört schon etwas mehr als ein paar Konfigs anzupassen. Mir erschließt sich nicht der Sinn dieser Installation des Heimnetzes, 3 Rechner können durchaus über einen Embedded-Router sicher vernetzt werden, denn ich gehe nicht davon aus, dass Du hochsensible Daten besitzt. Konfiguriere einen Router richtig und sichere Deine angeschlossenen Clients richtig ab, zusätzlich ein regelmäßiges Backup der Daten ist dann als Gesamtkombination sinnvoller für ein Heimnetz, wie 3 Router aneinander hängen Phil Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
thobro Geschrieben 20. Mai 2009 Autor Teilen Geschrieben 20. Mai 2009 Hallo Phil, danke für deine schnelle Antwort. Warum Du das machst, ist mir für ein privates Netz nicht ersichtlich. Vor allen nur weil da zwei Router installiert sind, heißt es noch lange nicht, dass es sicherer wird. Der Router den ich jetzt von meinem neuen ISP bekommen habe, hat leider keine eingebaute Firewall. Ich kann leider auch nicht auf den Router verzichten, da ich den notwendigerweise benötige um Telefonieren zu können (VoIP). Mein ISP nutzt leider ein propritäres Protokoll. Die Fritz!Boch habe ich halt angeschlossen, da hierüber WLAN-Zugriff realisiert wird sowie hängt an dieser Box mein ISDN-Telefon und ich nutze das eingebaute Telefonbuch der Fritz!Box. Was ist bitte eine "Schnittstelle"? Soll der Debian Server noch als weiterer Router zwischen die bestehenden gesetzt werden, wo ist da bitte der Sinn? Oder soll er als (transparenter) Proxy fungieren? Entsprechende fachliche Termini helfen Dein Problem richtig zu beschreiben. Sorry bitte, ich habe mich dann wohl nicht ganz klar ausgedrückt. Der Debian-Server soll als (transparenter) Proxy dienen. Aha, und was hindert Dich daran, diese zu benutzen? Eigentlich nichts. Ich kann die Messanger ja benutzen. Das Chatten ist ja auch nicht das Problem. Das Problem liegt vielmehr darin, dass ich die Remote-Verbindung nicht nutzen kann, auch nicht den File-Transfer oder die VideoKonferenz. "Schnell" ohne das notwendige Know-How sicher nicht. Zusätzlich würde ich hier kein Newbie-Tutorial verfassen, wie man mal eben schnell einen Router konfiguriert bzw ein Linux sicher macht, denn dazu gehört schon etwas mehr als ein paar Konfigs anzupassen. "Schnell" im übertragenen Sinne. Ich bin mittlerweile nicht mehr auf Newbie-Stand, aber mir fehlt im Augenblick der Durchblick, wo ich da ansetzen muss, bzw. kann. Es würden sich aber bestimmt einige über ein solches Tutorial freuen .... Mir erschließt sich nicht der Sinn dieser Installation des Heimnetzes, 3 Rechner können durchaus über einen Embedded-Router sicher vernetzt werden, denn ich gehe nicht davon aus, dass Du hochsensible Daten besitzt. Konfiguriere einen Router richtig und sichere Deine angeschlossenen Clients richtig ab, zusätzlich ein regelmäßiges Backup der Daten ist dann als Gesamtkombination sinnvoller für ein Heimnetz, wie 3 Router aneinander hängen. Wer hat denn was von 3 Rechnern gesagt? Ich habe nur die 3 mal als Beispiel aufgeführt. Insgesamt sind es ca 20 fest installierte Computer und zusätzlich nochmal ~10 Laptops die in dem Netzwerk rumwerkeln. Hochsensible Daten, für die Firma, ja. Für Aussenstehende vielleicht nicht. Das Problem bei der ganzen Geschichte ist halt, dadurch das die Fritz!Box nicht selbst die Internetverbindung aufbaut, ist deren Firewall wohl deaktiviert. Ich kann dort auch kein Port-Forwarding mehr einrichten, etc. Also bleibt mir momentan nur die Geschichte über nen Debian-Server. Und da die Kiste sowieso hier rumstand und als eMail-Gateway fungiert, kann sie auch diese Funktionen übernehmen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 20. Mai 2009 Teilen Geschrieben 20. Mai 2009 Mein ISP nutzt leider ein propritäres Protokoll. Das glaube ich hier nicht so recht, denn gerade bei einem Firmenanschluss und um den handelt es sich, wird ja wohl einmal entsprechende Bandbreite und eine statische IP garantiert sein. Aber da Du das Netz ja administrierst solltest Du diese Dinge wissen. Sorry bitte, ich habe mich dann wohl nicht ganz klar ausgedrückt. Der Debian-Server soll als (transparenter) Proxy dienen. Du brauchst Squid und die IPTables und musst entsprechend die Ports umleiten. Eigentlich nichts. Ich kann die Messanger ja benutzen. Das Chatten ist ja auch nicht das Problem. Das Problem liegt vielmehr darin, dass ich die Remote-Verbindung nicht nutzen kann, auch nicht den File-Transfer oder die VideoKonferenz. Wenn kein Portforwarding konfiguriert ist, dann ist das verständlich. "Schnell" im übertragenen Sinne. Ich bin mittlerweile nicht mehr auf Newbie-Stand, aber mir fehlt im Augenblick der Durchblick, wo ich da ansetzen muss, bzw. kann. [...] Wer hat denn was von 3 Rechnern gesagt? Ich habe nur die 3 mal als Beispiel aufgeführt. Insgesamt sind es ca 20 fest installierte Computer und zusätzlich nochmal ~10 Laptops die in dem Netzwerk rumwerkeln. Hochsensible Daten, für die Firma, ja. Für Aussenstehende vielleicht nicht. Aus diesem Grund würde ich Dir hier raten, lass das Netz von einem Fachmann administrieren, denn diese ganze Kombination aus "Home-Bastel-Lösung" mit mehreren Routern usw ist nicht fachgerecht. Teile das Netz in eine DMZ und mind. eine Firmennetz (ggf mehrere). Dateiserver sollten in ein eigenes Netz, in die DMZ würden dann Mailserver und Proxy gehören usw. In das Netz würde dann ggf auch ein Gateway für VoIP gehören. Du solltest eine klare durchdachte Netzstruktur aufbauen, so dass klar ist, wie die Kommunikation läuft, wo ggf Sicherheitsprobleme entstehen können usw. Dieses Wissen kann man sicher nicht in ein Tutorial schreiben, denn neben dem technischen Verständnis gehört auch ein gewisser Erfahrungswert. Lass es fachgerecht installieren und schaue demjenigen über die Schulter und lerne dadurch, dass Du Stückchenweise in Zusammenarbeit das Netz administrierst. Alles andere ist meiner Meinung nach grob fahrlässig aus Firmensicht. Das Problem bei der ganzen Geschichte ist halt, dadurch das die Fritz!Box nicht selbst die Internetverbindung aufbaut, ist deren Firewall wohl deaktiviert. Ich kann dort auch kein Port-Forwarding mehr einrichten, etc. Also bleibt mir momentan nur die Geschichte über nen Debian-Server. Und da die Kiste sowieso hier rumstand und als eMail-Gateway fungiert, kann sie auch diese Funktionen übernehmen. Generell sollte man keine "Eierlegende-Wollmilch-Sau" bauen, d.h. Proxy und Mailgateway auf einem System halte ich nicht für sinnvoll bzw es birgt auch Sicherheitsrisiken. Da die Installation innerhalb einer Firma ist, sollten auch gewisse finanzielle Mittel zur Verfügung stehen, um die entsprechende Hardware zu installieren z.B. gibt es von Cisco entsprechend Geräte. Weiterhin kann man über virtualisierte Server eine mehrfache Hardwareinstallation von Server umgehen, aber auch hier der Hinweis, dass es keine "Non-Plus-Ultra-Löung" gibt. Man muss ein solches Projekt, sowohl aus wirtschaftlicher, wie auch fachlicher Sicht im Sinne des Kunden bewerten und eine optimale Lösung schaffen. Neben den Aspekten zur Struktur und Konfiguration, gehört eine entsprechende Sicherheitsbetrachtung dazu. Phil Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ITse-passt Geschrieben 24. Mai 2009 Teilen Geschrieben 24. Mai 2009 Jetzt mach ihn doch nicht gleich so Platt. Doch flashpixx hat recht. Wenn du einen Router hast der nur routet. Dann hast du recht das ganze mit einer firewall abzusichern. Aber erstens Homebastel lösungen mit IPTables sind nicht der hiot das sie ********en zum konfigurieren sind und zum anderen wenn du einen Port freigegeben hast für Raus und rein damit die Pakete auch wieder ankommen dann kommt auch alles andere darüber. Denn IPtables sind nur Portgesteuert nicht Anwendungsgesteuert. Wenn dir jmd einenn Virus über Port 80 drüber jagt dann kommt der auch an. Außer du schließt denn Port. An sich sollte es vereinfacht so aufgebaut werden (auch wenn flashpixx es ausführlich erklärt hat): du solltest virtuelle netzwerke machen auch wenn du alle an einen Switch hängst sollten verschieden netzwerke hergenommen werden am besten mit VLAN. netz 1 192.168.0.1 netz2 192.168.1.1 usw. Also z.b. isp->router = inet ip router->firewall = dmz ip = netz1 firewall ->clients = green net = netz2 firewall->server =orange net = netz3 firewall ->wlan client = blue net = netz4 ich hoffe du verstehst das ganze. das mit der hardware sollte heute zu tage kein Problem sein hau einfach linux als basis drauf und dann mit vmware oder xen erstellst du darauf deine persönliche firewall, mail-server usw... Allerdings solltest du eine Gutehardware haben damit das ganze gut läuft. Noch zur erklärung warum du nicht Mailgtateway und Firewall auf einen laufen solltest. 1. einen firewall ist da um angreifer abzuwehren demenstrechend wenn sie in die knie geht müssen alle anderen server noch laufen. 2. wenn du deine firewall um konfiguriesrt muss der betrieb auch so laufen, du musst nur kurz einen brück drumherum bauen und schon kannst du einen neue konfi einspielen danach brücke wieder weg und weiter gehts. 3. bei einem Mail gateway kann schon mal sein das du neustarten musst weil ein dienst sich nicht mehr starten lässt (bei win-Serv03 kann das passieren) eine firewall sollte so gut wie niemals neugestartet werden da sonst kein schutz mehr für die firma besteht. allerdings würde ich dir fertig produkte mit support empfehlen für so was. hoffe ich konnte dir helfen. mfg Max :cool::cool: PS: für rechtschreibfehler hafte ich nicht ebenfalls nicht dafür wenn du es doch selbstmachen willst ohne passende hardware. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.