Netzwerk aufbauen, nur noch ein paar fragen gibts noch
lima-city → Forum → Heim-PC → Betriebssysteme
anbieter
anfrage
antwort
apache
dank
datum
domain
ftp
http
internet
machen
port
rechner
route
router
samba
server
teil
weben
wissen
-
Hey Leute, ich habe ein paar sachen vor.
erstmal was ich etwa vor hab.
Auf einem Computer sollen 2 Virtuelle Maschinen installiert werden. Auf der einen Maschine soll ein Samba Server installiert werden und auf dem anderen ein FTP und Apache Server. Beide Server greifen auf eine Netzwerkkarte zu. Der FTP und Apacheserver soll wiederrum auch vom Internet angesprochen werden können. Der Sambaserver wiederrum ausschließlich aus dem Netzwerk. geht das irgendwie? oder ist das nicht wirklich so einfach möglich? also ich dachte über firewalls aber ob das klappt weiß ich nicht.
kann mir jemand helfen?
den meine Daten sollen ja nicht für alle aus dem i-net zu gegriffen werden können.
oder gibt es eine andere möglichkeit? oder wie würdet ihr das anstellen?
Vielen dank schon mal für hilfe.
Michael
PS: Als Serversoftware kommt Suse 10.3 zum einsatz. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Das geht auch deutlich einfacher:
Samba sowie FTP und Apache lassen sich an Interfaces binden auf denen Sie lauschen, außerdem ist sowohl bei Samba als auch bei Apache möglich den Adressbereich aus welchem zugegriffen werden kann zu bestimmen. Außerdem sind die Heimaterzeichnisse von Apache und FTP unter /srv/www bzw. /srv/ftp und außerhalb der Verzeichnisse kann bei sinniger Rechtevergabe keiner etwas sehen oder tun.
Ich würde also bei Samba nur den Zugriff von einer privaten IP Adressbasis erlauben und für alle anderen den Zugriff von extern erlauben. Wenn du schon 2 Netzwerkkarten hast kannst du eine an den Samba binden (z.B. eth0) und auf lokal beschränken und die andere für den Apache + FTP verwenden und diese auf das 2. Interface (z.B. eth1) binden.
Du benötigst also weder VM's und eigentlich und eigentlich noch nicht mal 2 Netzwerkkarten.
Setze aber bitte eine aktuelle Distribution ein, SuSE 10.3 ist etwas angestaubt und der Support für Sicherheitsupdates dürfte bereits ausgelaufen sein / wird bald auslaufen, aktuell ist Version 11.1.Version 11.2 steht in den Startlöchern.
Beitrag zuletzt geändert: 6.7.2009 18:38:29 von fatfox -
ne da hast was falsch verstanden. also ich habe an sich nur eine einzige netzwerkkarte drin, von daher wollte ich ja auf 2 virtuelle maschinen verwenden.
Michael -
ich sagte ja, es geht auch mit nur einer Netzwerkkarte.
Samba: nur lokal lauschen lassen
Rest: extern (und lokal)
Fertig. Nix VM, Nix Zusatzhardware.
Das einzige was ich oben noch gesagt habe war das man mit 2 Netzwerkkarten das auch erreichen kann (hätte ja sein können das du 2 hast, außerdem wäre das unter Umständen sicherer gewesen (muss es aber nicht sein)) -
naja gut. ich arbeite an sich lieber mit vm aber naja ob mit oder ohne ist ja egal. da unterm strich ist ja alles das gleiche. also das ergebnis mein ich. aber naja ich werd ma gucken.
danke bis hier hin trotzdem.
naja hast vll ein guten tipp wegen firewall oder soll ich einfach grafische oberfläche nehmen? weil mit dem teil hab ich mich bislang noch nich soooo viel auseinander gesetzt.
Michael -
freewareecke schrieb:
naja gut. ich arbeite an sich lieber mit vm aber naja ob mit oder ohne ist ja egal. da unterm strich ist ja alles das gleiche. also das ergebnis mein ich. [...]
Das ist keinesfalls das selbe: Wenn du den Samba in der VM falsch konfigurierst ist er genauso aus dem Netz zu erreichen wie ohne VM und dein Ziel wäre nicht erreicht.
naja hast vll ein guten tipp wegen firewall oder soll ich einfach grafische oberfläche nehmen? weil mit dem teil hab ich mich bislang noch nich soooo viel auseinander gesetzt. [...]
Normalerweise würde ich jetzt sagen das man einen Server nicht mit grafischer Oberfläche ausstattet, ich schränke das mal insofern ein das man einen aus dem Internet / einem unsicheren Netz erreichbaren Server nicht mit einer grafischen Oberfläche ausstattet.
Du hast ja an deinem Internetanschluss eine auf dem Router laufende Firewall (wenn nicht führt dich deine Reise zu iptables), deswegen wäre eine weitere Firewall nicht unbedingt sinnvoll, wichtiger sind starke Passwörter, so wenig offene Ports wie nötig und eine sinnige Rechtevergabe.
Was noch fehlt ist mein Standardsatz: Wenn man keine Kenntnisse zur rudimentären Netzwerksicherheit hat, stellt man keinen Server ins Netz. (Ich hoffe du kennst dich zumindest mit Linux gut aus.) -
naja schon einige grundkenntnisse existieren mit erweiterung. also einen domaincontroller mit samba zu erstellen is kein problem, ein dhcp auf zusetzen auch nicht, dns server klappt auch soweit. ftp is auch kein problem. http auch.
also von daher gehts soweit und naja einiges bis fast alles mach ich eigentlich normal per textoberfläche.
Michael -
Möglichkeit 1:
Beide VMs haben eine eigene IP, also VM-Netzwerkkarte "bridged".
Auf deinem Router richtest du IP-Forwarding (Port-redirection) für Ports 80, 8080, 8181 (oder worauf halt Apache hören soll) und 20, 21 zu deiner Web-Ftp-VM ein.
Somit kommt keiner von außerhalb des Routers auf den Sambaserver, aber Web und FTP sind erreichbar.
Möglichkeit 2:
Beide VMs sind auf dem Host genattet, also VM-Netzwerkkarte "NAT".
Nun machst du auf deinem Host dieselben Einstellungen wir bei 1 auf dem Router.
Auf dem Router leitest du 80, 8080, 8181, 20 und 21 auf deinen Host um. -
danke census.
die idee klingt super. ich denke so werde ichs dann machen. weil ich find vm an sich super geil. also hab schon öfter damit rum experimentiert. muss mir halt nur die ports für ftp, http und evtl ssh raus suchen um diese dann ein zu stellen. und an sich wollte ich dann auf die maschine die vom web erreicht werden soll, bekommt von dyn DNS die nötigen teile damit das aus dem i-net schön einfach klappt.
gibts noch was dabei zu überlegen? -
freewareecke schrieb:
danke census.
die idee klingt super. ich denke so werde ichs dann machen. weil ich find vm an sich super geil. also hab schon öfter damit rum experimentiert. muss mir halt nur die ports für ftp, http und evtl ssh raus suchen um diese dann ein zu stellen. und an sich wollte ich dann auf die maschine die vom web erreicht werden soll, bekommt von dyn DNS die nötigen teile damit das aus dem i-net schön einfach klappt.
gibts noch was dabei zu überlegen?
Die Webmaschine bekommt von dyndns die nötigen Teile? Was für Teile?
Dein Apacheserver braucht eine feste IP auf die er gebunden wird. Von außen wird eh nur auf deinen Router zugegriffen, der dann nattet. Das heißt, dynDNS muss deinen Router auflösen und nicht den Webserver, der ja im LAN hängt.
Außerdem verteilt dnyDNS keine Teile, sondern löst Namen auf. -
ich meinte mit teile eigentlich das programm was ich installieren muss damit die dynamische dns überhaupt vergeben kann. und wenn ich das über den router machen soll, wie kann ichs da machen? weil ich muss ja die benutzerdaten von dyndns ja irgendwo eintragen oder vertue ich mich da?
Michael -
Du hast einen Router.
Der hat auf der WAN-Seite eine IP von deinem ISP, zum Beispiel die 87.144.152.111 / 16.
Diese IP ändert sich alle 24h beim berühmten 24h-Disko.
Dein Router hat auf der LAN Seite auch irgendeine IP, zum Beispiel die 192.168.1.100 / 24.
Deine Rechner die am Router hänge haben auch IPs aus diesem Subnet (in diesem Falle aus dem 192.168.1.0 / 24) :
Rechner A z.B. die 192.168.1.32
Rechner B z.B. die 192.168.1.200
u.s.w.
Alle deine Rechner haben eine Route über deinen Router ins Internet: also A zum Beispiel:
route 0.0.0.0 mask 0.0.0.0 gateway 192.168.1.100 if 192.168.1.32
Damit kommen deine Rechner raus in die weite Welt.
Würdest du nun die IP von deinem Webserver (z.B. die 192.168.1.118) bei dnyDNS publizieren würde das mal garnichts bringen, weil kein Mensch dahin routen könnte. Woher soll denn z.B. mein PC wissen, dass die 192.168.1.118 (die es übrigens so grob 1 Million mal geben wird), die ich suche, hinter der 87.144.152.111 liegt. . . -
naja nur wie klappt das den nun mit dyn dns? also wenn ein router
dabei ist.
Michael -
Also mein Router kann dnyDNS. Vllt liest du mal das Handbuch von deinem.
-
na na na census .. da hast DU jetzt aber einen der größten denkfehler dieses posts ..
ich sehe .. du hast dich scheinbar bis jetzt nur mit DNS .. aber noch nich groß mit DynDNS beschäftigt ..
also mal zur veranschauung ... wie arbeitet DynDNS :
DynDNS - System besitzen in aller regel einen ROOT-server ... wie z. B. den hier : mydyn.de ...
dieser server hat nun einen originalen MX eintrag und wird daher auf der gesamten welt gleich gemapped auf 85.214.87.69
wenn du dich nun bei einer solchen DynDNS seite einträgst mit deiner SUB-Domain arbeitet das system wie folgt :
zunächst wird der nächste bekannte DNS gefragt ob XXX.mydyn.de eingetragen ist ... *in einem lan in aller regel wird der router gefragt der diese anfrage einfach an den provider weiter reicht und die antwort einfach zum fragenden rechner zurück sendet *siehe NAT-Tabelle* *in seltenen fällen leitet der provider diese anfrage an einen ROOT-DNS weiter *oder ggf zwischen instanzen ... welche aber alle bei unbekanntheit an die nächst höhere .. und damit irgendwann bei ROOT-DNS angekommen ... weiterleiten**
nun gibt es drei möglichkeiten ... :
1.) positive antwort : domain XXX.mydyn.de mapped > xxx.xxx.xxx.xxx
2.) positive antwort : domain mydyn.de mapped > 85.214.87.69 *in diesem fall kennt der DNS nur den root-server mydyn.de und verweist mit dessen domain an diesen*
3.) negative antwort : domain xxx.mydyn.de / mydyn.de / 0.de / de.arpa UNKNOWN *um mal einen teil der arpa-struktur der 13 root-dns zu veranschaulichen .. wobei 0.de und de.arpa meist auf i-welche werbe seiten gemapped sind ... oder einfach ein DNS-ERROR aufgerufen wird *flag im ethernet frame**
bei antwort eins verbindet sich also nun der rechner zum server unter der folgenenden ip ...
bei antwort zwei passiert aber folgendes : der dyndns server nimmt die anfrage entgegen *immer noch mit domain XXX.mydyn.de* ... sucht diesen in seiner datenbank und gibt dann einen 301 FOUND status code mit antwort der ip-/domain-addresse an den BROWSER zurück ... danach kramt der pc wieder nach den oben genannten daten *wenn ne IP gesendet wird sucht der zuständige LAYER2-hub nach dem nächsten knoten zum weiterleiten ...*
bei antwort drei wird in aller regel die anfrage einfach abgebrochen ...
gut ... nun wissen WAS DynDNS macht ... aber wie kommt es dazu ... nun .. dass passiert dann wie folgt
wenn du dich da einträgst bekommst du meist bei allen DynDNS irgend ein link oder tool mit login daten mit denen du dich dann beim server melden musst / kannst ...
wenn du dies tust macht der server nichts weiter als die REQUEST-IP mit der domain zu verknüpfen *diese werden in einem pool gesammelt mit dem dann in regelmäßigen abständen eine ROOT-DNS-aktualisierung vorgenommen wird ... *meist ist die "neue" domain dann innerhalb von 24 stunden weltweit via ROOT-dns mit der ip verknüpft*
es ist dabei völlig egal von WO aus diese anfrage gestellt wird ... wichtig ist einzig und alleine das sich die anfrage im zielnetz der domain befindet ...
heißt im klartext : er meldet sich bei dyndns an .. erhält seine daten und mit diesen meldet er sich regelmäßig dann bei dyndns *damit immer möglichst die neuste ip vorliegt* ... es ist egal ob er dies vom "server" aus tut oder von einem anderen rechner im lan oder sogar vom router selbst *D-Link router unterstützen dies soweit ich weiß .. gibt aber noch n paar andere anbieter* ...
fertig ... aus ... mehr ist nich ...
ich gebe dir einen guten rat mein freund ... wenn du bei der Telekom bist ... beantrage eine FESTE IP *ist bei T-Online möglich .. muss aber selber beantragt werden* ... wie es bei tochtergesellschaften der telekom *1&1 , alice , freenet , arcor , etc* aussieht weis ich nich ... und wenn du einen kabelanbieter hast wie kabel-DE oder EWT *du also übers fehrnseh kabel reingehst* ... dann glaube mir ... hast du eigentlich imemr eine standleitung .. also eine leitung mit FESTER / STATiSCHER iP ... 24/7 online ... also KEiNEN 24h-DisConnect ... und meist einen festen DNS-eintrag *lässt sich beim anbieter erfragen und meist sogar kostenfrei auf gewünschten dns-eintrag ändern ... domain-kosten werden einfach vom provider bezahlt *keine sorge .. du bekommst keine höhere rechnung .. dein anbieter macht an dir nur weniger profit ... ist zumindest bei meinem so =)* ..
so ... wenn jetzt an diesem post noch wer fehler entdeckt hat bitte PM ... oder dierekt drunter -
df-t schrieb: na na na census .. da hast DU jetzt aber einen der größten denkfehler dieses posts ..
ich sehe .. du hast dich scheinbar bis jetzt nur mit DNS .. aber noch nich groß mit DynDNS beschäftigt ..
Hmm, hmm, hmm. Danke für die Erklärung was dynDNS ist.
gut ... nun wissen WAS DynDNS macht
Danke, Routender Adler nun verstehen WAS DynDNS macht.
heißt im klartext : er meldet sich bei dyndns an .. erhält seine daten und mit diesen meldet er sich regelmäßig dann bei dyndns *damit immer möglichst die neuste ip vorliegt* ... es ist egal ob er dies vom "server" aus tut oder von einem anderen rechner im lan oder sogar vom router selbst *D-Link router unterstützen dies soweit ich weiß .. gibt aber noch n paar andere anbieter* ...
Genau darum geht es: Selbst mein billiger Speedport von der Telekom unterstützt dnyDNS: Ich trage dort meine Domain und meine Credentials ein und sobald er eine neue WAN-IP bekommt meldet er sich bei dynDNS. Ich muss da gar nichts tun, weder mich im Browser bei dynDNS melden noch irgendwelche obskuren Tools ausführen.
Meines Erachtens war der Wissensstand vom Originalposter nicht sehr tief was Netzwerke, Address translation, routing und name services angeht. Ich wollte verhindern, dass er bei dynDNS seine LAN-/24-C-Netz-IP einträgt.
Kannst du mir bitte eben noch erklären wo auf meiner seite "der größte Denkfehler" dieses Posts liegt?
Ich hab mir gerade noch einmal mein Post durchgelesen und kann keinen Fehler finden, aber oft ist man ja selbst betriebsblind.
Würdest du nun die IP von deinem Webserver (z.B. die 192.168.1.118) bei dnyDNS publizieren würde das mal garnichts bringen, weil kein Mensch dahin routen könnte. Woher soll denn z.B. mein PC wissen, dass die 192.168.1.118 (die es übrigens so grob 1 Million mal geben wird), die ich suche, hinter der 87.144.152.111 liegt. . .
Richtig: kein Mensch kann zu seiner LAN-IP routen.
Richtig: mein PC kann seine WAN-IP nicht kennen, eben dafür wird sie ja bei dynDNS prostituiert.
Ich habe nicht geschrieben, dass er die IP nicht von seinem Webserver aus publizieren soll; ich habe geschrieben, dass er nicht die IP seines Webservers posten soll. Semantischer Unterschied. Auf der Weboberfläche von dynDNS kann man eine beliebige IP-Eintragen . . .
BACK TO TOPIC: freewareecke, schau einfach auf der Weboberfläche deines Routers nach, ob er ein Feld "dyndns" hat. Falls ja, trag da deine Daten ein und brauchst dir keinen Kopf zu machen.
Ob du auf deinen Servern dann IP forwarding aktivieren musst, kann evtl df-t erläutern.
Beitrag zuletzt geändert: 7.7.2009 1:23:25 von census -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
