[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: AW: [luga] Linux Firewall



>>>>> "ww" == Wolfgang Wernhart <wolfgang.wernhart@datentechnik.com>
>>>>> wrote the following on Tue, 21 Apr 1998 10:50:15 +0200

>> On 21-Apr-98 Wolfgang Wernhart wrote: >Meine konkreten Fragen: >*)
>> Macht ein Intranet-Name-Server Sinn?  > Wenn ja, wie mu_ man das
>> konfigurieren?
>> 

Sinn macht der auf alle faelle, ausser du willst dein gedaechtnis
trainieren und alle rechner und server mit ihren IP addressen
ansprechen ;-) Man kann natuerlich acuh WINS verwenden, aber das soll
ja mit NT 5.0 und Win98 ja auch nicht mehr so wirklich unterstuetzt
werden, da DNS verwendet wird (sicher mit M$ inkompatibilitaeten). 

>> Du meinst einen DNS-Server fuer jedes eurer LANs nehmen ich an.
>> Habt Ihr zur Zeit WINS im Einsatz? Ich habe zwar noch nie einen
>> NT-DNS Server konfiguriert, aber in eurem Fall (nur NT Kisten im
>> LAN) waere es moeglicherweise sinnvoll da der mit DHCP-Adressen
>> keine Probleme haben sollte.
>> 
ww> 	[Wernhart,Wolfgang] Genau das hab ich mir auch gedacht, ich
ww> habs zwar noch nicht ausprobiert, aber in dieser Ecke erwarte ich
ww> mir gar nicht die Probleme.

>> >*) Wie kann man mit dem squid Statistiken auswerten?  > Das macht
>> (vermutlich) besonders dann Probleme, wenn jeder > Benutzer durch
>> DHCP jeden Tag eine andere IP Adresse hat.

The joys of DHCP :-) Ein bloedes ding.

Der SQUID loggt sicher nur die IP Adresse, da er keine zeit hat einen
DNS lookup zu machen. Ist aber sicher patchbar, geht aber auf
performance, da: DNS lookup is blocking, wenn der DNS server gerade im
jojo mode ist, wird ewig gewartet. in dieser zeit ist der proxy ausser
gefecht und das nur wegen einer log zeile :-(.

>> 
>> Das ist richtig, entweder DHCP so konfigurieren das es nicht jeden
>> Tag eine andere IP-Adresse konfiguriert,
>> 
ww> 	[Wernhart,Wolfgang] Das wäre eine Möglichkeit!  Nachteile, die
ww> ich sehe: *) Höherer administrativer Aufwand, da ja am DHCP Server
ww> die fixe Zuordnung nur aufgrund der MAC Adresse gemacht werden
ww> kann.  *) In der Log-Auswertung steht dann erst kein "sprechender"
ww> Name sondern nur eine IP Adresse, d.h. um die Logs tatsächlich
ww> lesen zu können, brauch ich wieder eine extra Tabelle.

Oder ein mini perl/python/tcl filter script.

ww> 	oder (ist aber sehr theoretisch) ich nehme an auf der FW
ww> laeuft ein Internet-DNS
>> Server, diesen DNS Server weiter unveraendert laufen lassen, FW als
>> DNS-Client des internen DNS-Servers (NT) definieren
>> (/etc/resolv.conf).  Am NT-DNS-Server den FW-DNS-Server als
>> forwarders am NT-DNS Server definieren (ich hoffe der unterstuetzt
>> so etwas;-) ).
>> 
ww> 	[Wernhart,Wolfgang] Auch darüber hab ich schon nachgedacht.
ww> Fragen dazu: *) Gibts dazu FAQ´s oder HOWTO´s im Net (ich hab
ww> keine gefunden)?  *) Unterstützt das der Standard named vom Linux
ww> oder brauch ich da spezielle Patch-Versionen?  *) Sind die
ww> "internen" Stationen dann vom Internet aus sichtbar (Kategorie
ww> super-grauslich)?

Ich taets so machen:

Firewall hat einen DNS (den letzten, besten sichersten).
Dieser DNS hat keinen Authorative Zone Records, er funktioniert nur
als Cacheing Server. Am Standort, wo die FW ist, wird dieser DNS als
Standard name server eingesetzt. An den anderen Standorten, wird ein
DNS aufgesestzt der den FW DNS als standard name server
verwendet. Dadurch werden DNS lookups auch an den standorten im LAN
gecached (bessere latency). Damit werden alle Requests nach aussen
ueber einen DNS am Standort -> Firewall abgehandelt.

Nun zu den maschinen im intranet. Von aussen brauchen ja keine
maschinen sichtbar sein, ausserdem werden ja wohl private IP adressen
verwendet und daher waere das sogar ziemlich unsinning. Daher kann man 
intern eine fake domain verwenden (z.B. dt.at). Fuer diese Fake domain 
gibts einen DNS server. Innerhalb dieser fake domain wird pro standort 
eine subdomain gebildet (z.B. wien4.dt.at, wien23.dt.at,
neufeld.dt.at) und fuer jede dieser subdomain ein DNS server
aufgesetzt.

Fuer die nach aussen sichtbaren maschinen muss man natuerlich einen
eigenen DNS server auf einer maschine ausserhalb der firewall laufen
haben. aber dieser DNS server hat nuer die paar eintraege die fuer
e-mail, www und ftp notwendig sind.

Die DNS server in Abstatz 1 und 2 koennen natuerlich auf dem gleichen
rechner und softwware laufen. Die JKonfig des DNS servers soll halt
beide funktionalitaten abdecken.


>> Wie gesagt eine sehr theoretische Moeglichkeit hab ich selber noch
>> nie probiert, auszerdem kommt ein bisschen zu viel NT fuer meinen
>> Geschmack darin vor ;-)
>> 
ww> 	[Wernhart,Wolfgang] Für meinen Geschmack auch, aber da bin ich
ww> leider machtlos. Ich bin ja nur der, der das ganze Zeug
ww> konfigurieren soll :-(





powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010