AW: FBSD als proxy, mail, news, ....

From: Samer, Michael, IN <Michael.Samer(at)ingolstadt.bertrandt.com>
Date: Wed, 25 Aug 1999 17:57:37 +0200

> -----Ursprüngliche Nachricht-----
> Von: Andreas Braukmann [SMTP:braukmann(at)tse-online.de]
> Gesendet am: Mittwoch, 25. August 1999 15:18
> An: de-Bsd-Chat (E-Mail)
> Cc: sam.vanratt(at)gmx.net
> Betreff: Re: FBSD als proxy, mail, news, ....
>
> Hallo Junge, ;)
>
> On Wed, Aug 25, 1999 at 10:51:40AM +0200, Samer, Michael, IN wrote:
>
> > in Kürze möchte ich mein bisherigen Versuchs BSD Rechner auf
> > "Profi" Rechner umsetzen.
> ... ich werd' einfach mal ein paar grundsaetzliche Kommentare 'ablassen',
> auch auf die Gefahr hin als 'oberlehrerhaft' abgestempelt zu werden.
>
> Um einen Unix-Rechner (das gilt fuer M$-$%§&-Kisten aber genauso)
> in einem LAN/WAN-Umfeld sicher und stabil zu betreiben gehoert
> vor allen Dingen ein solides Grundwissen und praktische Erfahrung.
        [Samer, Michael, IN] Die versuche ich unter anderem damit zu
erwerben (das Buch von Greg Lehay ist zwar gut und noch nicht mal sehr
ermüdend, aber lernen werde ich nur durch "learning by doing"

> > rsh (Verwaltung ohne Monitor);
> pfff. Auf einem 'sicheren' (und zudem Internet-Gateway-Rechner)
> haben die 'r-Tools' wirklich nichts zu suchen.
> Zu diesem Zwecke gibt es 'ssh'.
> Wir setzen (aus lizenztechnischen Gruenden) die 1.xx-Versionen ein.
        [Samer, Michael, IN] es wird ein Router mit Firewall bereits auf
der einen Seite des Netzes sein, die andere Seite wird bis auf die
notwendigsten Ports als weit als möglichst abgedichtet (ftp, mail, http,
news), der Rest soll nur auf der anderen (sicheren privat-Seite) frei sein
und da bin ich in ich bisher mit rsh gut gefahren, klar hat rsh nix mit
sicherheit zu tun, aber mit dem (Platz-)ersparnis eines Monitors. Die eine
Seite wird nur von mir selbst benutzt (+Anhang).
> > proxy,
> squid
        [Samer, Michael, IN] Was macht squid so gut gegenüber Apache?!
Einfach zu verwalten oder schneller oder besser konfigurierbar oder.... Die
einen bevorzugen Apache, die anderen schwören auf squid; wieso?
> > ftp
> ... ich bin bisher immer dem 'serienmaessigen' ftpd klargekommen.
        [Samer, Michael, IN] meinen einige, deshalb bleibe ich wohl auch
dabei. Weiß jemand, womit cdrom.com arbeitet als ftp? scheint mir sehr nett
>
> > (mirrorfunktion essentiell, evtl.
> > über script programmierbar),
> ... das macht man eh' nicht mit dem ftpd, sondern (ist ja auch logisch)
> einem extra-Tool.
> Ob es aber unbedingt ratsam ist, auf einer Gateway-Maschine einen
> ftp-Server laufen zu haben, sei dahingestellt.
> Wenn man zwischen _eigenen_ Rechnern Dateien synchron halten will,
> sollte man schauen, ob man - statt auf eine Kruecke wie ftp-Spiegelung
> zurueckzugreifen - nicht besser mit cvsup und/oder rsynch beraten ist.
        [Samer, Michael, IN] Werde ich in Betracht ziehen, danke für den
tip; war bisher recht mühselig per Hand zu machen.
>
> > samba (oder besser Novell Zugriff),
> client oder Server?
> Der Novell-Client (einfach in den Mailinglisten-Archiven (z.B. von
> freebsd-stable) nach Novell suchen. Es gibt einen ziemlich brauchbaren
> Novell-Client fuer FreeBSD.
        [Samer, Michael, IN] Samba um meine "Produktiv-Seite" auch am
Internet teilhaben zu lassen, sprich NFS nach Rest der Welt Translator

> > firewall,
> hmmm. Hier ist auch die "wirklich verstandene" Konfiguration
> deutlich wichtiger als das verwendete Werkzeug.
> Ich wuerde mich - fuer den Beginn - weitgehend auf die Boardmittel
> (also ipfw oder ipfilter) beschraenken.
        [Samer, Michael, IN] Nochmals danke, ich denke die man-pages lohnen
sich hierzu zu lesen (g'rade mal reingeschnuppert zu ipfw)
>
> > Standleitung 64kBit/s verwalten (über ISDN Router)
> ... wenn ein externer ISDN-Router (mein Tip: Bintec ) zum Einsatz
> kommt hat die BSD-Kiste doch nix mit der Standleitung zu schaffen?
> Das 'i4b' unterstuetzt im Uebrigen bisher noch keine Festverbindungen.
        [Samer, Michael, IN] Ja, in Zukunft. Bisher läuft noch alles über
meine AVM Karte (zusammen mit i4b), daß soll aber alleinb schon aus
Performance und Slotproblemen sich ändern. Bintec Brick XM wird ihren Dienst
tun (ist hier gerade mal so abgefallen). Sobald die läuft/steht, wird eine
einfache 10MBit Cross-Verbindung erstellt, IP-Forwarding mit Firewall....
und allem aufgebunden und weiter
>
> > und Zugriffe dynamisch
> > verwalten (useranzahl max. 100),
> Was fuer Zugriffe?
        [Samer, Michael, IN] Mail, ftp, http, news, alles wozu der Server
an diensten aufbindet
>
> > mailserver,
> Wenn man etwas mehr als eine 'plain-vanilla'-Mailkonfiguration
> benutzen moechte, wuerde ich persoenlich von sendmail abraten.
> Ich setze an unterschiedlichen Orten 'qmail' (www.qmail.org) ein
> und bin eigentlich sehr zufrieden.
> Allerdings gab es - als wir uns entschieden haben - auch postfix
> (www.postfix.org) noch nicht. Auf postfix wuerde meine Wahl wohl
> heute fallen.
> Fuer den Mailserver gilt auf jeden Fall, dass man sich die Auswahl
> gut ueberlegen sollte; die Umstellung eines Mailservers im
> Produktionsbetrieb ist nicht soooo einfach.
        [Samer, Michael, IN] Ist wie gesagt privat und Mailserver ist
eigentlich schon übertrieben, für das was ich mache.....§-)). Wo siehst
Du/ihr die vorteile von postfix oder qmail. Sendmail habe ich bisher nicht
benutzt und nur kleine Probleme damit gelesen
>
> > newsserver
> hier hab' ich selbst keine grossartigen Erfahrungen. Aber ich
> glaube, dass die wirklichen Feinheiten des News-Betriebs an einem
> Endknoten wohl nicht sooo relevant sein werden.
> > (mit Einstellmöglichkeit was er spiegelt/kopiert);
> haee?
        [Samer, Michael, IN] Na ich versuche nicht ISP mit schlappen 12.000
Newsgruppen zu spielen. Ich habe vielleicht 20 in Benutzung (außerdem nur
300GB HD Speicher und was ich von VIAG weiß schlagen die Pro Tag etwa diese
Menge allein in alt.binaries um %-}} ). Ich möchte so eine Art Spiegelung
für die paar Punkte fahren und so die lästigen Accesszeiten minimieren.
>
> > Geschwindigkeit zählt und Stabilität (min. Verwaltungsaufwand);
> ... naja. Wenn man vorher viel Zeit in eine saubere durchdachte
> Konfiguration investiert, beschraenkt sich ein Grossteil der
> Administration eigentlich auf Ueberwachungsarbeiten.
> Aber man sollte sich auch nichts vormachen; ... Server, die
> wirklich benutzt werden erzeugen nunmal einen gewissen Wartungsaufwand.
        [Samer, Michael, IN] Klar, drum eben minimal.Meinen Novell server
habe ich vor fünf Monaten mal wieder etwas angesehen und entstaubt ;-)
          
> > 100MBit Netz; Hardware, RAM, HD, .....
> > schotteregal, und soll auf Dauer auf Gigbit umgestellt werden.
> ... nunja ... Wie gross ist das Netz denn? Was hilft ne Gigabit-Anbindung
> fuer den Gateway-Rechner ans Firmennetz, wenn die Daten ueber 'ne
> 64kBit-Leitung hereintroepfeln.
        [Samer, Michael, IN] Na der Sinn leigt darin, meine meistbenutzen
Seiten/ftp-Adressen zu Cachen und nett damit zu arbeiten, außerdem liebe ich
Geschwindigkeit.
>
> > Alles auf einem Rechner;
> ... und genau davon wuerde ich mit aller Vehemenz abraten.
> Die nackte Rechnerhardware wird der geringste Kostenfaktor sein.
> Viel teurer ist die Anfangsinvestition in Arbeitszeit, die Kosten
> fuer die laufende Administration und vor allen Dingen "Ausfallzeiten"
> bei unternehmenskritischen Diensten.
> Auch aus sicherheitstechnischen Ueberlegungen sollte sich die
> Bereitstellung 'allermoeglichen' Dienste auf dem Gateway-Rechner
> ganz von allein verbieten.
> Nachdem, was ich bisher verstanden habe, 'moechtest' Du eigentlich
> _mindestens_ 3 Rechner:
> Internet----[ ISDN/IP-Router z.B. Bintec Brick XS ]
> [ 'ordentlicher' Satz an Packet-Filtern ]
> |
> D|
> M+---[ BSD-Kiste 1 ]
> Z| [ extern verfuegbare Dienste]
> |
> [ BSD-Kiste 2 ]
> [ Gateway / Firewall / Proxies]
> |
> |L
> |A
> |N
> |
> +----[ BSD-Kiste 3
> | [ interne Dienste, wie samba, etc. ]
> |
> +----[ weitere interne Server ]
> | [ z.B. Novell / NT o.aeh. ]
> |
> |-- ... [ Workstations ]
        [Samer, Michael, IN] Ich möchte eben einen der diese
Internetdienste komplett übernimmt (was eignet sich denn besseres als ein
UNIX System mit BSD)
>
> > Rechner OS (BSD bbevorzugt)egal,
> FreeBSD ist schon 'ne gute Wahl.
        [Samer, Michael, IN] Weiß ich, und der Rest der anwesenden auch!
>
> > Version egal;
> neee. Auf jeden Fall 3.2-stable ... nichts anderes.
        [Samer, Michael, IN] Ich wollte eben Tips dazu. Die Mehrheit
tendiert auf jeden Fall auf 3.2 sehe ich schon.
>
> > DDS Streamer als Backup
> kein Problem.
        [Samer, Michael, IN] mit welchem Programm/tool?
>
> > Ist bisher:
> > rsh,
> wech damit.
>
> > apache 1.1.3
> ... ist ein bischen alt, oder?
> apache ist bei 1.3.9 ...
        [Samer, Michael, IN] Naja ist ja auch schon seit einem Jahr
unverändert...
>
> > (fand ich nicht so toll zum konfigurieren, aber ich habe
> > auch rtfm nicht beachtet);
> nunja. Wenn Du schon eine (zumindest was einen brauchbaren Basisbetrieb
> angeht) so _einfach_ zu konfigurierende Software als "nicht so toll"
> empfindest, vermute ich, dass Ihr auf jeden Fall professionelle
> Hilfe brauchen werdet ...
> Und einen dicken Stapel der einschlaegigen Buecher solltest Du Dir
> evtl. auch noch besorgen und _wirklich_ lesen.
>
> > externer SUN Samba;
> ... haee? Also ein Samba-Server auf einem Sun-Server?
        [Samer, Michael, IN] Naja die Sparc 10 würde ich nicht gerade als
Server bezeichnen (leise Workstation in Pizzaschachtel, wohl eher) [Samer,
Michael, IN] , aber die lag gerade so zur Verfügung, außerdem wollte ich
die lauffähigkeit mit NBSD testen...
>
> > 2*PPro200; 256MB RAM;
> ... das reicht IMHO fuer die beschriebenen Aufgaben auch
> aus.
        [Samer, Michael, IN] Sehr laut, deswegen möchte ich auf- oder
abrüsten...
>
> > 24GBRAID 5;
> ok. Aber welcher RAID-Controller?
> Fuer FreeBSD-Maschinen empfehlen sich hauptsaechliche
> SCSI2SCSI-Controller,
> da - bis auf DPT und COMPAQ - keine Unterstuetzung fuer
> PCI-RAID-Controller
> vorhanden ist.
> Mit den Compaqs habe ich keine Erfahrung, ... und die DPTs sind in
> Deutschland deutlich zu teuer.
        [Samer, Michael, IN] Ich benutze (wohl wegen meiner Kommentare und
Ratschläge bekannt) CMD 5500 als SCSI-2-SCSI Brdige mit einem Tekram F390U2
mit Symbios U2W Chip. Läuft gut und teilt sich mit meinem Novell Server den
Controller (Multihosting) und naja billig eher eine Frage des
Betriebssystems (je mehr es kostet um so billiger ist es und analog, siehe
eNTe).
>
> > gatekeeper (SUN);
> Firewall?
        [Samer, Michael, IN] Läuft, das zählt.
>
> > AVM ISDN Dial In (als Standleitung genutzt);
> haee? Versteh ich jetzt nicht.
> "Dial In" und "Standleitung" sind zwei Begriffe, die sich meinem
> Gehirn als offensichtlicher Widerspruch offenbaren.
        [Samer, Michael, IN] Nun die dial-In benutze ich aus Kostengründen
(bisher) als Standleitung, ohne dedizierten Partner, sprich nix fixe IP,
sondern dynamisch, aber immer der selbe Partner (mobilcom). Die Begriffe
sind hier natürlich falsch benutzt, für mich macht's aber keinen
Unterschied.
>
> > 100MBit-Switch; FBSD 2.2.8; und auf SUN NetBSD 1.1.3; DDS-2
> > Streamer über ufsdump als Backup (recht unkomfortabel)
> ... ich evaluiere gerade fuer einen Kunden 'bru2000'
> siehe: www.freebsdmall.com
        [Samer, Michael, IN] Guter Ratschlag! werde ich nachsehen!

> > System läuft, allerdings bin ich in den meisten Systemprogrammen nicht
> so
> > firm, als daß ich es "risikolos" zu verändern kann oder weiß ob es nicht
> never change a running system ;)
        [Samer, Michael, IN] Nun, ja. Mit dem Motto wäre ich wohl immer
noch auf meinem P.E.T.80 oder später meinem IBM 286 (waren beider sehr
stabil!)
> > meine Firewall würde sicher nicht mal meine Attacke standhalten....
> > &-((
> ... dann ist es auch keine Firewall, sondern die Vortaeuschung
> falscher Tatsachen :(
        [Samer, Michael, IN] Naja, alles eine Sache der Konfiguration!
Bisher hatte ich auch nur wenige Attacken, aber da ich früher IBM Mühlen mit
"Supersicheren" Datenbanken/Mainframes installiert/gewartet habe, bezeichne
ich als sicher so eine Mühle wie auf dem ChaosTreffen in Berlin und auf der
"trockenen" Seite zu sitzen. Ein Scherz ist es allein schon deswegen, weil
Gateway, "Firewall" und Leitung alles in einem Rechner integriert ist (wie
du schon bemängelt hast).
>
> > Gerade der Novellzugriff wäre nett,
> und wenn Du zwischen zwei Unix-Kisten ein 'shared filesystem' haben
> moechtest, bietet sich eigentlich immer noch 'nfs' als erste Wahl
> an.
>
> > da ich dann auf den
> > recht rechenintensiven Samba verzichten kann.
> Das versteh' ich jetzt widerum nicht so recht.
> Samba ist doch nicht cpu-intensiv. Wenn ausser den BSD-Maschinen
> (egal ob NetBSD oder FreeBSD) nur noch _ein_ oder zwei Novell-Server
> ihr Unwesen treiben und auch prinzipiell nur fuer Mail-/File-/Print-
> Service genutzt werden, wuerde ich die - im Sinne einer moeglichst
> homogenen Server-Umgebung - fast immer durch BSD/Samba-Gespanne
> ersetzen.
        [Samer, Michael, IN] Durch den Novell Client-SW dürfte sich dies
beheben. Novell ist die einzige Software, welche DOS, OS/2, Winxy, MAC und
Amiga, (letztere beiden gehen auch wunderbar über BSD) und meinen Alpha
verbunden werden können.
          
> Gruss,
> Andreas
        [Samer, Michael, IN] Gruß an alle zurück
>
> > Es soll im stillen
> > Kämmerlein vor sich hinackern.
> ... das ist dann kein Problem.
        [Samer, Michael, IN] Still heißt auch geräuscharm und wenig Strom
fressend (die Stromrechnungen kosten manchmal ein halbes Vermögen und wenn
die Stadtwerke kommen und drei Bodyguards mitbringen zum
Geldabholen.....<:-)) [Samer, Michael, IN] /
> --
> : TSE GmbH Neue Medien : Gsf: Arne Reuter : :
> : Hovestrasse 14 : Andreas Braukmann : We do it with :
> : D-48351 Everswinkel : HRB: 1430, AG WAF : FreeBSD/SMP :
> :--------------------------------------------------------------------:
> : Anti-Spam Petition: http://www.politik-digital.de/spam/ :
> : PGP-Key: http://www.tse-online.de/~ab/public-key :
> : Key fingerprint: 12 13 EF BC 22 DD F4 B6 3C 25 C9 06 DC D3 45 9B :
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-chat" in the body of the message

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message
Received on Wed 25 Aug 1999 - 17:56:09 CEST

search this site