Re: FBSD als proxy, mail, news, ....

From: Andreas Braukmann <braukmann(at)tse-online.de>
Date: Wed, 25 Aug 1999 15:17:33 +0200

Hallo Junge, ;)

On Wed, Aug 25, 1999 at 10:51:40AM +0200, Samer, Michael, IN wrote:

> in Kürze möchte ich mein bisherigen Versuchs BSD Rechner auf
> "Profi" Rechner umsetzen.
... ich werd' einfach mal ein paar grundsaetzliche Kommentare 'ablassen',
auch auf die Gefahr hin als 'oberlehrerhaft' abgestempelt zu werden.

Um einen Unix-Rechner (das gilt fuer M$-$%§&-Kisten aber genauso)
in einem LAN/WAN-Umfeld sicher und stabil zu betreiben gehoert
vor allen Dingen ein solides Grundwissen und praktische Erfahrung.

> rsh (Verwaltung ohne Monitor);
    pfff. Auf einem 'sicheren' (und zudem Internet-Gateway-Rechner)
    haben die 'r-Tools' wirklich nichts zu suchen.
    Zu diesem Zwecke gibt es 'ssh'.
    Wir setzen (aus lizenztechnischen Gruenden) die 1.xx-Versionen ein.

> proxy,
    squid

> ftp
    ... ich bin bisher immer dem 'serienmaessigen' ftpd klargekommen.

> (mirrorfunktion essentiell, evtl.
> über script programmierbar),
... das macht man eh' nicht mit dem ftpd, sondern (ist ja auch logisch)
einem extra-Tool.
Ob es aber unbedingt ratsam ist, auf einer Gateway-Maschine einen
ftp-Server laufen zu haben, sei dahingestellt.
Wenn man zwischen _eigenen_ Rechnern Dateien synchron halten will,
sollte man schauen, ob man - statt auf eine Kruecke wie ftp-Spiegelung
zurueckzugreifen - nicht besser mit cvsup und/oder rsynch beraten ist.

> samba (oder besser Novell Zugriff),
client oder Server?
Der Novell-Client (einfach in den Mailinglisten-Archiven (z.B. von
freebsd-stable) nach Novell suchen. Es gibt einen ziemlich brauchbaren
Novell-Client fuer FreeBSD.

> firewall,
hmmm. Hier ist auch die "wirklich verstandene" Konfiguration
deutlich wichtiger als das verwendete Werkzeug.
Ich wuerde mich - fuer den Beginn - weitgehend auf die Boardmittel
(also ipfw oder ipfilter) beschraenken.

> Standleitung 64kBit/s verwalten (über ISDN Router)
... wenn ein externer ISDN-Router (mein Tip: Bintec ) zum Einsatz
kommt hat die BSD-Kiste doch nix mit der Standleitung zu schaffen?
Das 'i4b' unterstuetzt im Uebrigen bisher noch keine Festverbindungen.

> und Zugriffe dynamisch
> verwalten (useranzahl max. 100),
Was fuer Zugriffe?

> mailserver,
Wenn man etwas mehr als eine 'plain-vanilla'-Mailkonfiguration
benutzen moechte, wuerde ich persoenlich von sendmail abraten.
Ich setze an unterschiedlichen Orten 'qmail' (www.qmail.org) ein
und bin eigentlich sehr zufrieden.
Allerdings gab es - als wir uns entschieden haben - auch postfix
(www.postfix.org) noch nicht. Auf postfix wuerde meine Wahl wohl
heute fallen.
Fuer den Mailserver gilt auf jeden Fall, dass man sich die Auswahl
gut ueberlegen sollte; die Umstellung eines Mailservers im
Produktionsbetrieb ist nicht soooo einfach.

> newsserver
hier hab' ich selbst keine grossartigen Erfahrungen. Aber ich
glaube, dass die wirklichen Feinheiten des News-Betriebs an einem
Endknoten wohl nicht sooo relevant sein werden.
> (mit Einstellmöglichkeit was er spiegelt/kopiert);
haee?

> Geschwindigkeit zählt und Stabilität (min. Verwaltungsaufwand);
... naja. Wenn man vorher viel Zeit in eine saubere durchdachte
Konfiguration investiert, beschraenkt sich ein Grossteil der
Administration eigentlich auf Ueberwachungsarbeiten.
Aber man sollte sich auch nichts vormachen; ... Server, die
wirklich benutzt werden erzeugen nunmal einen gewissen Wartungsaufwand.

> 100MBit Netz; Hardware, RAM, HD, .....
> schotteregal, und soll auf Dauer auf Gigbit umgestellt werden.
... nunja ... Wie gross ist das Netz denn? Was hilft ne Gigabit-Anbindung
fuer den Gateway-Rechner ans Firmennetz, wenn die Daten ueber 'ne
64kBit-Leitung hereintroepfeln.

> Alles auf einem Rechner;
... und genau davon wuerde ich mit aller Vehemenz abraten.
Die nackte Rechnerhardware wird der geringste Kostenfaktor sein.
Viel teurer ist die Anfangsinvestition in Arbeitszeit, die Kosten
fuer die laufende Administration und vor allen Dingen "Ausfallzeiten"
bei unternehmenskritischen Diensten.
Auch aus sicherheitstechnischen Ueberlegungen sollte sich die
Bereitstellung 'allermoeglichen' Dienste auf dem Gateway-Rechner
ganz von allein verbieten.
Nachdem, was ich bisher verstanden habe, 'moechtest' Du eigentlich
_mindestens_ 3 Rechner:
        Internet----[ ISDN/IP-Router z.B. Bintec Brick XS ]
                    [ 'ordentlicher' Satz an Packet-Filtern ]
                        |
                       D|
                       M+---[ BSD-Kiste 1 ]
                       Z| [ extern verfuegbare Dienste]
                        |
                    [ BSD-Kiste 2 ]
                    [ Gateway / Firewall / Proxies]
                        |
                        |L
                        |A
                        |N
                        |
                        +----[ BSD-Kiste 3
                        | [ interne Dienste, wie samba, etc. ]
                        |
                        +----[ weitere interne Server ]
                        | [ z.B. Novell / NT o.aeh. ]
                        |
                        |-- ... [ Workstations ]

> Rechner OS (BSD bbevorzugt)egal,
FreeBSD ist schon 'ne gute Wahl.

> Version egal;
neee. Auf jeden Fall 3.2-stable ... nichts anderes.

> DDS Streamer als Backup
kein Problem.

> Ist bisher:
> rsh,
wech damit.

> apache 1.1.3
... ist ein bischen alt, oder?
apache ist bei 1.3.9 ...

> (fand ich nicht so toll zum konfigurieren, aber ich habe
> auch rtfm nicht beachtet);
nunja. Wenn Du schon eine (zumindest was einen brauchbaren Basisbetrieb
angeht) so _einfach_ zu konfigurierende Software als "nicht so toll"
empfindest, vermute ich, dass Ihr auf jeden Fall professionelle
Hilfe brauchen werdet ...
Und einen dicken Stapel der einschlaegigen Buecher solltest Du Dir
evtl. auch noch besorgen und _wirklich_ lesen.

> externer SUN Samba;
... haee? Also ein Samba-Server auf einem Sun-Server?

> 2*PPro200; 256MB RAM;
... das reicht IMHO fuer die beschriebenen Aufgaben auch
aus.

> 24GBRAID 5;
ok. Aber welcher RAID-Controller?
Fuer FreeBSD-Maschinen empfehlen sich hauptsaechliche SCSI2SCSI-Controller,
da - bis auf DPT und COMPAQ - keine Unterstuetzung fuer PCI-RAID-Controller
vorhanden ist.
Mit den Compaqs habe ich keine Erfahrung, ... und die DPTs sind in
Deutschland deutlich zu teuer.

> gatekeeper (SUN);
Firewall?

> AVM ISDN Dial In (als Standleitung genutzt);
haee? Versteh ich jetzt nicht.
"Dial In" und "Standleitung" sind zwei Begriffe, die sich meinem
Gehirn als offensichtlicher Widerspruch offenbaren.

> 100MBit-Switch; FBSD 2.2.8; und auf SUN NetBSD 1.1.3; DDS-2
> Streamer über ufsdump als Backup (recht unkomfortabel)
... ich evaluiere gerade fuer einen Kunden 'bru2000'
siehe: www.freebsdmall.com

> System läuft, allerdings bin ich in den meisten Systemprogrammen nicht so
> firm, als daß ich es "risikolos" zu verändern kann oder weiß ob es nicht
never change a running system ;)

> meine Firewall würde sicher nicht mal meine Attacke standhalten....
> &-((
... dann ist es auch keine Firewall, sondern die Vortaeuschung
falscher Tatsachen :(

> Gerade der Novellzugriff wäre nett,
und wenn Du zwischen zwei Unix-Kisten ein 'shared filesystem' haben
moechtest, bietet sich eigentlich immer noch 'nfs' als erste Wahl
an.

> da ich dann auf den
> recht rechenintensiven Samba verzichten kann.
Das versteh' ich jetzt widerum nicht so recht.
Samba ist doch nicht cpu-intensiv. Wenn ausser den BSD-Maschinen
(egal ob NetBSD oder FreeBSD) nur noch _ein_ oder zwei Novell-Server
ihr Unwesen treiben und auch prinzipiell nur fuer Mail-/File-/Print-
Service genutzt werden, wuerde ich die - im Sinne einer moeglichst
homogenen Server-Umgebung - fast immer durch BSD/Samba-Gespanne
ersetzen.

Gruss,
    Andreas

> Es soll im stillen
> Kämmerlein vor sich hinackern.
... das ist dann kein Problem.

-- 
: TSE GmbH Neue Medien  :  Gsf: Arne Reuter        :                 :
: Hovestrasse 14        :       Andreas Braukmann  : We do it with   :
: D-48351 Everswinkel   :  HRB: 1430, AG WAF       :  FreeBSD/SMP    :
:--------------------------------------------------------------------:
: Anti-Spam Petition:     http://www.politik-digital.de/spam/        :
: PGP-Key:                http://www.tse-online.de/~ab/public-key    :
: Key fingerprint:  12 13 EF BC 22 DD F4 B6  3C 25 C9 06 DC D3 45 9B :
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message
Received on Wed 25 Aug 1999 - 15:11:41 CEST

search this site