Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 25 von 43

Thema: Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

  1. #1
    Master Sergeant Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

    Morgen Jungs,

    ich sitz hier grad vor einer schweren Aufgabe
    Ich will ein kleines Netzwerk aufbauen. Nur so für Übungszwecke. In dem Netz sollen eine Domäne, eine Firewall und ein Proxy vorhanden sein. Des weiteren will ich ein internes (vielleicht auch später noch von außen zugänglichen) Mail-Server einrichten. Jetzt weiß ich nur nicht wie es am sinnvollsten ist dies durchzuführen.

    Also am wichtigsten ist natürlich die Firewall. Firewalls sind doch am sinnvollsten, wenn sie als reine Firewall dienen?!? Also ohne jegliche andere dienste laufen.
    Deshalb hab ich mir gedacht, diese nur als Firewall zu verwenden (IP-Cop oder ISA Server ist ja mal egal, das Thema kommt gleich noch auf mich zu ) Diese verbindet sich direkt mit dem Internet und direkt zum "Server". Auf diesem Server sind dann die Domäne, der DHCP und DNS Dienst sowie der Mailserver drauf.

    330 kleines ubungsnetzwerk mit proxy firewall und domaene firewall und server direkt - Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

    Ne andere Möglichkeit wäre halt die Firewall mit dem Proxy zusammenzufassen und den Server für die Domäne direkt ins Netz mit den Benutzern zu hängen.


    331 kleines ubungsnetzwerk mit proxy firewall und domaene benutzer direkt - Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

    hmm irgendwie kann ich mich nicht ausdrücken im Forum. Aber hier kann mir halt keiner wirklich helfen. Ich hab das einfach mal mit Visio aufgemalt. Damit ist es verständlicher.

    Also ich würd halt gerne wissen, welche Methode sinnvoller ist und was es für Vorteile gibt. Ich seh einfach die erste als sinnvoller weil man damit die Firewall einzeln verwendet und der Server nur für den Rest zuständig ist. Die Frage ist halt nur ob es mit dem Proxi auch alles funktioniert.

    Über hilfe wär ich dankbar.

  2. #2
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Ich persönlich trenne immer die Firewall (iptables) vom Rest des Netzwerkes. Dahinter würde ich wohl den Router legen und die Clients. Den Domänencontrollserver würde ich als eigener "Client" (zumindest hier) am Router laufen lassen.

    Ist jetzt natürlich ein Schnellschuss und keine Analyse dahinter. Dafür müßte ich vor Ort sein und dazu noch einige Fragen stellen. Aber als Schnellschuss würde ich es wohl so machen.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  3. #3
    Lieutenant General Avatar von BigWhoop
    Registriert seit
    14.10.2006
    Ort
    Bielefeld
    Beiträge
    30.047

    Standard

    Die zweite Idee finde ich besser allerdings nur als Firewall ohne anderen Sachen dran

    Internet => Firwall => Router mit DNS und Proxy => Clients und Domänenserver mit DHCP sowie dem Mailserver
    2.00000000 + 2.000000000 = 3.999998456

    hwmartikel - Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

  4. #4
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    @SethOS
    seh ich das richtig, dass so kein Proxy eingebunden würde? das wollt ich aber schon.
    Und du sollst das auch nicht analysieren. Ich bin ja der Einzige, der die 1. Option besser findet weil es meiner Meinung nach so viel logischer aussieht.

    @BigWhoop
    so müsst ich aber noch einen weiteren Rechner dazwischen stellen. dies wollt ich eigentlich vermeiden. gibts da denn keine andere möglichkeit? falls nein kommt da einfach einer hin. wäre nur halt nicht so praktisch

  5. #5
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Nope, siehst Du nicht richtig. Firewall einzeln, alles andere auf dem Domänenkontrollrechner. Jeweils Clients und Domänenkontrollrechner (inkl. Proxy etc.pp.) an den Router. Zwischen Router und WAN die Firewall.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  6. #6
    First Sergeant Avatar von xpate
    Registriert seit
    01.02.2006
    Beiträge
    1.485

    Standard

    wenn mit router dann bsp 2. wenn ohne router und den server als router verwenden, dann bsp 1.
    Lütten Wicht: Shuttle SN26P | AMD X2 3800+ @2,5GHz 1,248V | Kingston HyperX 1024MB @testing | PoV 7900GT @testing
    Dat Monste: Abit NF7 | AMD Geode NX @1,5GHz 1,3V | OCZ Platinum 512MB @2-2-2-5 | ATI Radeon 9250
    pub14823403031479592012lp0 - Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

  7. #7
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    der server sollte ja der router sein

  8. #8
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Dann sind Deine Zeichnungen falsch. Laut der Zeichnung hast Du einen Server (Domäne, Prox etc), einen Router, eine Firewall (muss ja ein eigener Rechner sein, wenn man ihn getrennt zeichnet) und Clients.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  9. #9
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    nene das kleine ding soll ein ganz normaler switch sein
    hätt ich besser beischreiben sollen :/

    aber der Proxy wäre in dem sinne ja der router (naja oder gateway, wie auch immer)

  10. #10
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Hm, dennoch ist das nicht optimal. Eine Firewall sollte immer alleine laufen, keine anderen Dienste auf dem Rechner. Sprich alles anders (Domaincontroll, Proxy etc.pp.) gingen auf einen zweiten.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  11. #11
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    das wäre dann ja so wie die erste zeichnung?

  12. #12
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Fast, ich würde halt nicht: Client,Switch, Server, Firewall -> WAN machen, sondern Client + Server, Switch, Firewall -> WAN.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  13. #13
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    also von den symbolen her wie das 2. bild und den text vom ersten?

    ich mach übermorgen nochmal ein neues bild. hab die visio dateien (das ist eh nicht bei mir am pc) auf der arbeit und morgen berufsschule

    Aber Donnerstag frag ich nochmal ob das dann so richtig ist.

    Nur warum ist es besser, wenn ich den Server über einen Switch verbinde und nicht direkt? Hab ich da irgendwelche Vorteile? Ich will ja nicht, dass man anders als über den Proxy ins Netz kommt. Auch wenn irgendwer über WLAN sich einloggt, muss er den Proxy einstellen um auch ins inet zu kommen!

  14. #14
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Hm, nein - Vorteile hast Du wohl nicht unbedingt, ich persönlich schließe nur niemals einen Server direkt ans WAN an. Wird für Dich wohl am einfachsten sein, wenn Du Switch->Server->Firewall->WAN macht (dann kommst Du auch um tiefere Routingtabellen drum herum).
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  15. #15
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    hmm ich will ja nicht um was drumherum kommen. so wäre ja der lerneffekt geringer

  16. #16
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Mit welchem OS willst Du das eigentlich umsetzten? (Frage nur interessehalber)
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  17. #17
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    das müssen wir noch entscheiden. aber die lizenzen sind alle vorhanden. da wäre nicht das problem. vielleicht veruchen wir auch verschiedene lösungen. mal sehen wieviel zeit noch vorhanden ist

    gibts da irgendwelche "vorschläge"

    iptables ist ja schon genannt worden. zz verwenden wir eine m0n0wall (welche aber sicherlich abgelöst wird)

    und der domänencontroller ist ein win2003 server

  18. #18
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Als Packetfilter Firewall nutze ich nur iptables (linux/unix). Auch bei dem Rest hätte ich eher nur Linux Tips

    Mit Windows wird man soetwas aber natürlich auch realisieren können
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  19. #19
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    also ich bin nicht von windows angetan

    linux wär mir sogar lieber. wenn ich schon sehe wie langsam der isa server auf den vorhandenen rechner lief, wurd mir übel

  20. #20
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    also soll das so aussehen?

    335 kleines ubungsnetzwerk mit proxy firewall und domaene zeichnung3 - Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

    was hätte ich eigentlich für nachteile, wenn der proxy und die firewall zusammengefasst werden? gibt es da sicherheitslücken? das wird ja immerhin sehr häufig als ein produkt angeboten. und deshalb versteh ich nicht warum es besser ist die firewall einzeln zu verwenden.

    Und welche Linux Lösungen würdest du vorschlagen? Wir haben die Domäne jetzt über Suse mal getestet. Wollten aber, wenn überhaupt linux, auf debian umsteigen.

  21. #21
    Lieutenant General Avatar von BigWhoop
    Registriert seit
    14.10.2006
    Ort
    Bielefeld
    Beiträge
    30.047

    Standard

    Ja genau so habe ich es von seth auch verstanden und

    @BigWhoop
    so müsst ich aber noch einen weiteren Rechner dazwischen stellen. dies wollt ich eigentlich vermeiden. gibts da denn keine andere möglichkeit? falls nein kommt da einfach einer hin. wäre nur halt nicht so praktisch
    wenn das nicht geht ist es ja auch genauso wie ich es machen würde

    Debian ist auf jeden fall eine sehr gute Wahl Allerdings was da die tiefere Materie angeht ist Seth der richtige ansprechpartner er hat nur über die feiertage so wie ich das mitbekommen habe wenig zeit du müsstest dich dann wohl bis nach weihnachten begnügen
    2.00000000 + 2.000000000 = 3.999998456

    hwmartikel - Kleines Übungsnetzwerk mit Proxy, Firewall und Domäne

  22. #22
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    keine angst, in unserem projekt haben wir einen der sich sehr gut mit linux auskennt

  23. #23
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Das klingt doch schon gut

    Also wenn es um Server geht, würde ich nur auf Debian (stable !!!) setzten. Man kann da alle nötigen Programme leicht installieren und bei der stable Variante kann man sicher sein, daß sie stabil laufen.

    Warum ich die Firewall immer trennen würde? Naja, das gehört bei mir zu meinem Sicherheitskonzept (Mehrstufiges System). Ist aber auch gängig, zumindest soweit ich es mitbekommen habe.

    Gibt es da denn noch Fragen bezüglich der Programme?
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  24. #24
    Master Sergeant
    Themenstarter
    Avatar von cimbo
    Registriert seit
    10.04.2006
    Beiträge
    681

    Standard

    zur Zeit haben wir Urlaub also keine Fragen

    Es ist ja im Moment noch alles in der Vorprojektphase.

    Als Firewall werden wir übrigens mit ipcop arbeiten

  25. #25
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    IPCop ist aber keine Firewall, sondern eine eigenständige Distribution, welche diverse Dienste aktiviert (IDS, Proxy etc.pp.).

    Also wollte ihr doch wieder alles auf einmal laufen lassen?
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •