Router, Mail-Server, Firewall ect. wie am besten verbinden? |
||
---|---|---|
#0
| ||
19.10.2003, 00:29
...neu hier
Beiträge: 8 |
||
|
||
19.10.2003, 18:13
Member
Beiträge: 907 |
#2
hi
ob die rot umrandete leitung nötig ist, weiß ich nicht, da ich deine switches nicht kenne eins fällt mir aber auf: deine work-pc´s hängen am selben switch, wie der mail-server MS Software ist bekannt für zahlreiche (ungestopfte) sicherheitslücken es liegt in deiner entscheidung, auf was du deinen mail-server aufsetzt einfacher für den anfang ist sicher windows, ob es auf lange zeit die bessere lösung (zumal mit nem workstation OS) ist, wage ich zu bezweifeln früher oder später musst du auf ein natives Server OS umsteigen, um ausfallzeiten gering zu halten und sicherheit zu erhöhen den mailserver würde ich in eine DMZ stellen, wenn es nicht zu viel aufwand für dich ist [1] also quasi in die FW noch eine NIC rein und den mailserver daran direkt anschließen dann ist er logischerweise per 100MBit angeschlossen [2] und bei einem erfolgreichen angriff ist nicht das gesamte netz betroffen sorry, bissl knapp aber wenn du noch fragen hast, einfach her damit greez [1] vorausgesetzt er soll von außen erreichbar sein [2] voraussetzung: - switches arbeiten mit 100MBit (fx) - FW per 100MBit an switches angebunden - NIC´s der clients arbeiten mit 100MBit (fx) |
|
|
||
19.10.2003, 20:41
...neu hier
Themenstarter Beiträge: 8 |
#3
Hmm wo würdest Du den Mailserver an die FW anschliessen?
Auf der I-Net oder auf Lan-Seite? Auf der Lanseite bring glaube ich kaum etwas, da die Ports untereinander sehrwahrscheinlich, nicht gesichert sind und die I-Netseite ist mit Sat, ADSL und ISDN schon voll belegt aber werde es mal erst ohne die Leitung probieren. Zu DMZ (demilitarized Zone): Zwischen Router und FW (Firewall) haben alle Geräte eine I-Net-IP und bekommen alle anfragen egal welcher Port. Ich weiss dass Windows nicht sicher ist aber bis jetzt fehlte mir die Zeit mich richtig in ein anderes OS einzuarbeiten. Aber kommt noch. Falls der Mailserver ausfällt werden alle Mails auf einen Server in einem richtigigen Hostingcenter gesammelt gehen also nicht verloren. Aber müssen dann von Hand sortiert werden. Wo und wie würdest Du das WLAN anhängen? Dieser Beitrag wurde am 19.10.2003 um 20:46 Uhr von 206HDI editiert.
|
|
|
||
19.10.2003, 21:03
Member
Beiträge: 907 |
#4
ganz verstehe ich deinen netzaufbau immer noch nicht:
wozu dient denn der router, wenn alle WAN-Dienste an der FW attached sind? würde grob folgendes machen: - Work-PC´s und Mailserver in ein Netz (192.168.0.0/24) - Game PC und PS in ein Netz (192.168.1.0/24) - WLAN in ein Netz (192.168.2.0/24) das realisierst du mit den 2 switches die beiden switches werden nicht direkt miteinander verbunden (kein uplink), sondern kommen jeweils an ein interface der firewall [1] - die firewall braucht jetzt NIC´s für: 1x router 1x SAT 1x ISDN/Modem 2x switches 1x WLAN du siehst schon: WLAN kommt direkt an die FW durch routing- und maskarading-funktionen der FW kann somit jedem rechner im netz ein I-Net-Zugang gewährt werden alle hosts gehen also zunächst über die firewall und dann über den router, der von seiner seite aus aber nur mit der firewall kommuniziert (maskarading) der mailserver ist nur im LAN erreichbar und wird von der firewall von zugriffen aus anderen netzen, die nicht mit dem mailserver sprechen dürfen [2], geschützt sehr komplex, könnte man hier und da sicher noch ein wenig ändern ich würde es aber so machen greez [1] ich gehe hier von switches aus, die selbst keine routing- und firewallfunktionen bieten - also reine layer2 switches [2] bsp: PS, Router, WAN |
|
|
||
19.10.2003, 21:42
...neu hier
Themenstarter Beiträge: 8 |
#5
In meiner Version hat der Mailserver, PS, Router 212.168.432.XXX
die Work-PC's 192.168.1.XXX und WLAN 192.168.0.XXX Nicht gut? |
|
|
||
19.10.2003, 22:55
Member
Beiträge: 907 |
#6
was hast du bei letzteren beiden für subnetmasken?
wieso muss der mailserver und die playstation direkt ans internet angeschlossen werden? das kannst du doch über den router realisieren oder? dabei wird mittels NAT das gesamte LAN dahinter mit nur einer IP ins internet gebracht und die clients/server sind ein wenig "geschützter" oder benötigt die PS direkte Internetkommunikation? greez |
|
|
||
20.10.2003, 01:00
...neu hier
Themenstarter Beiträge: 8 |
#7
255.255.0.0 oder soll ich lieber 255.255.255.0 nehmen?
Der Mailserver müsste nicht. Aber was mach ich sonst mit meinen 16IP's? Aber eigentlich hast Du recht der braucht nicht direkt am I-Net zu sein. Vorausgesetzt ich kann bei der FW den Port 25 auf Ihn umleiten. Aber bei der PS weiss ich nicht welche Ports sie braucht. Darum lieber direkt ans I-Net, könnte sie man aus dem I-Net schädigen? *fragendgugck* Dieser Beitrag wurde am 20.10.2003 um 01:05 Uhr von 206HDI editiert.
|
|
|
||
20.10.2003, 09:40
Member
Beiträge: 907 |
#8
wow, du hast 16 öffentliche IP's ???
wie macht man denn sowas? was ist denn das für eine FW? normalerweise sollte portforwarding nicht das prob sein aber wenn du sagst, der MS muss nicht von außen erreichbar sein, dann frage ich mich, wieso du ports forwarden musst? jeder normale SOHO router beherrscht connection tracking und paketfilter implizieren dies mit NAT/Masq. bei der PS hilft vllt. googlen, von attacken auf PS habe ich noch nichts gehört - liegt aber auch daran, dass ich mich dafür nicht interessiere als subnet würde ich eine /24er - Maske nehmen (letztere von dir genannte), damit sind die netze WLAN, Game und Work logisch voneinander getrennt greez |
|
|
||
20.10.2003, 15:48
...neu hier
Themenstarter Beiträge: 8 |
#9
Nimmst Du einfach ADSL Business von Tiscali-Schweiz und dann kannst soviele 8er FixIP-Blöcke Mieten wie Du willst.
Die FW ist die Symantec Firewall VPN 200r. Geeignet für bis zu 30 Benutzern das sollte reichen denn zur Zeit sind wir max.15. Die Satverbinding ist eine 1Weg Verbindung und wird nur genutzt wenn das ADSL nicht mehr ausreicht oder Ausfällt das Lohnt sich da ich nach langem suchen einen Anbieter gefunden habe bei dem nur die tatsächlich gebrauchte Bandbreite bezahlt werden muss und keine Grundgebühr hoffe der geht nicht so schnell pleite wie die andern Der Mailserver muss von aussen erreichbarsein da alle E-Mails an xxxx@unseredomains.xx darüber laufen und nicht nur der Interne Mailverkehr. Da hast Du mich falsch verstanden oder ich hab mich nicht klar ausgedrückt. Tja wenn Du so einen Spielverrückten kleinen Bruder hättest wie ich müsstest du Dich damit befassen darum auch der ganze Aufwand ... im moment ist ist der Router DHCP-Server und Port 25 wird auf den Mailserver umgeleitet. Bis auf gewisse Spiele funktioniert alles einwandfrei. Bin jetzt am Dosen montieren danach kannst Du endlich im Netzwerkschränkchen Umpatchen und Deine so belegen wie Du willst ob mit ISDN, I-Net mit Firewall oder I-Net ohne Firewall. |
|
|
||
20.10.2003, 15:57
Member
Beiträge: 907 |
#10
wow, großes netz, oder große familie
jo, dann musst du den port 25 forwarden, kein akt immer noch besser, als direkt im WAN zu hängen ist der router so ein kleiner SOHO Router, oder ist dieser OS basiert? wenn letzteres haben solche dienste darauf nix zu suchen greez |
|
|
||
20.10.2003, 16:59
...neu hier
Themenstarter Beiträge: 8 |
#11
grosse Familie und viele Gäste und dann Nachbarskinder und und Im Lan sind Games halt schneller als im I-Net *gg*
Der Router ist von ZyXEL der 652 oder so mit der Nummer bin ich mir nicht mehr so ganz sicher ??? Der Fällt doch unter SOHO Router oder nicht? |
|
|
||
20.10.2003, 20:12
Member
Beiträge: 907 |
||
|
||
21.10.2003, 16:58
...neu hier
Themenstarter Beiträge: 8 |
#13
Ja denk ich auch aber wenn wieder fragen auftauchen komm ich wieder
thx & greez |
|
|
||
Ich würde es mal so zusammenstellen wie auf der Skizze oben.
Die Firewall ist gleichzeitig DHCP-Server. Beim Ausfall des ADSL's
wählt es sich über ein ISDN-Modem ein.
Ist die Rot umrandete leitung nötig um mit 100Mbps auf den Server zugreifen zu können? Falls ja bringt sie eine hohen sicherheitsverlust (Server Win2k prof)? Wo würdet Ihr das WLAN anschliessen? In einen Artikel in diesen Forum hab ich gelesen:
Zitat
Warum so kompliziert? Ganz einfach da kann jeder über meinen Anschluss angriffe auf Server starten und ich hab dann ein Problem zu beweisen das ich es nicht war. Also es soll nicht nur das LAN vor dritten sicher sein sondern auch das I-Net.
Gruss 206HDI