einen Linux-Server als Internetgateway kann man auf viele Arten ins eigene Netz stellen; mit ein wenig Fummeln geht’s später irgendwie immer. Auf unserem alten 486 läuft jetzt ein Linux-Server, der als InternetGateway dienen soll, ein anderer alter Pentium-Rechner hat eine permanente Anbindung via Sat (Rx&Tx) und lauft mit NT. Die NT Client’s in unserem Netz sind moderne PIII Maschinen und speichern Ihre Daten zentral auf einem NT FileServer ab. Ich möchte mein Netz so einrichten, dass die NT-Clients [192.168.0.1 bis 192.168.0.5] ein eigenes SubNetz mit dem NT-Fileserver [192.168.0.10] bilden. Keiner der Clients und schon gar nicht der NT-Fileserver soll aus dem Internet zu erreichen sein. Der NT-Rechner mit der permanenten Netzwerkanbindung [192.168.1.100] ist über eine zweite Netzwerkkarte im Linux-Server [192.168.1.200], direkt über Cross-Connect-Kabel angeschlossen. Somit besteht von aussen keine Möglichkeit, ins Intranet zu gelangen. Auf dem Linux-Server läuft Squid und Sendmail, auf die unsere Clients Zugriff haben.
Wir erhoffen uns durch diese Lösung mehr Sicherheit für unsere Daten und Angriffe von aussen, und das ist auch gleichzeitig meine Frage. Wie sieht eigentlich die optimale Netzumgebung aus?
5 NT Clients--------------Isoliertes Netz mit Zugang zum Linux-
1 NT Server---------------Server, kein Zugang zum InternetGate
der Linux Rechner------als Router? oder Proxy konfigurieren?
als Vertreter--------------zweite NetCard im anderen Adressbereich
NT-Rechner----------------hier läuft nur die Firewall unseres
mit permanenter----------Providers auf die Sendmail als auch
Nerzanbindung------------Squid aufsetzen müssen.
Internet-/MailGate--------PC hat 2 IP’s intern/extern
Gruesse aus dem Medoc (Bordeaux), Wolfgang und Andrea
Wir erhoffen uns durch diese Lösung mehr Sicherheit für unsere
Daten und Angriffe von aussen, und das ist auch gleichzeitig
meine Frage. Wie sieht eigentlich die optimale Netzumgebung
aus?
Mal von vorne, da dein Netz „private“ Addressen verwendet, tust du es den Angreifern eh nicht gerade leicht. Aber ich persönlich würde eine Firewall zwischen Netzzugang, und jeglichem anderen System stellen. Du könntest auch ruhig deinen NT Server ohne die umständlich Cross Connect Verbindung fahren. Würde das Leben erheblich vereinfachen.
Meine Empfehlung (in der Reihenfolge der Verbindung):
Linux Gateway zum Internet (sowohl Festnetz als auch Sat)
Firewall Rechner (kann auf dem Gateway selbst liegen)
NT Server
NT Clients
Dein System mag dir einfach und sicher erscheinen, aber es ist schwer zu durchschauen, und auf Grund der Cross Connect Verbindung entsteht der Eindruck eines Inselsystems, das es nicht gibt. Wenn ein Angreifer auf einer NT Maschine ist, kann er auch auf den Server. Du brauchst das interne Netz nicht physikalisch abkoppeln (auch aus Gründen der Fernwartung nicht wünschenswert).
Ich persönlich würde einen Gateway zum Internet (Pentium (min. II)) mit einer Firewall aufsetzen, als Proxy squid. Dann einen eigenen Webserver (fall benötigt), einen eigenen Mailserver, etc. Pro Serverdienst ein Rechner. An den Gateway hänge ich einen DHCP Server + Router dran, welcher mittels IP Masquerading die NT Rechner ans Internet anbindet.
BTW, lies mal die Artikel auf http://www.rootprompt.org. Die helfen dir wahrscheinlich auch ein bisschen weiter.
Mal von vorne, da dein Netz „private“ Addressen verwendet,
tust du es den Angreifern eh nicht gerade leicht. Aber ich
persönlich würde eine Firewall zwischen Netzzugang, und
jeglichem anderen System stellen. Du könntest auch ruhig
deinen NT Server ohne die umständlich Cross Connect Verbindung
fahren. Würde das Leben erheblich vereinfachen.
Hallo,
unser Problem ist die Anbindung ans Internet.
Für die Standleitung ins Web wird ein eigener NT Rechner benötigt.
Der Grund sind fehlende Linuxtreiber für die RX Karte des Satellitensystems. Hier unterstüzt Linux lediglich 2 Mbps, wir rüsten zum Jahresende auf 43 Mbps!! um. Ebenfalls ein Problem ist der SatBooster den wir verwenden müssen. Das ist ein kleines Kompressionsprogramm für den Transport der Datenpakete zum bzw. vom Sateliten. Das Programm arbeitet ähnlich wie ein kleiner Proxy oder eine Firewall umd läuft zZt. nur unter Windows.
Der Weg ins Internet geht leider nur über einen eigenen NT-Rechner, der neben einer privaten auch eine öffendliche IP besitzt unter von aussen zu erreichen ist.
Das Satelliten Empfangs- und Sendesystem das wir verwenden befindet sich noch im Betastadium. Auf Providerseite, der sich in Dublin befindet, wird noch sehr viel gebastelt, daher auch unsere Angst.
Also, wir haben einen NT-Rechner der als einzigster ins Web gehen darf aber von keiner anderen NT-Maschine erreichbar sein soll.
Simple Lösung: Setze zwischen NT Gateway (ins Internet) und Netz eine Firewall, welcher alle Verbindungen zwischen Internetrechner und NT Clients/Server blockiert.
Physikalisch wird es seeehr schwierig, und ist den Aufwand nicht wert, weil obige Lösung auch funktioniert.