Re: FBSD als proxy, mail, news, ....

From: Andreas Klemm <andreas(at)klemm.gtn.com>
Date: Thu, 2 Sep 1999 07:59:13 +0200

On Wed, Aug 25, 1999 at 03:17:33PM +0200, Andreas Braukmann wrote:
> Hallo Junge, ;)

Hi Alter ;-)

> On Wed, Aug 25, 1999 at 10:51:40AM +0200, Samer, Michael, IN wrote:
> > ftp
> ... ich bin bisher immer dem 'serienmaessigen' ftpd klargekommen.

Den anderen braucht man eigentlich nur, wenn man auch benutzer
ftp logins chrooten möchte.

> Ob es aber unbedingt ratsam ist, auf einer Gateway-Maschine einen
> ftp-Server laufen zu haben, sei dahingestellt.

Jau. Man könnte ja auch den mailserver "innen" verstecken und mit
NAT rauslassen ....

> zurueckzugreifen - nicht besser mit cvsup und/oder rsynch beraten ist.

rsync ist klasse. Kann man auch über ssh laufen lassen und dann ist
die Übertragung auch noch verschlüsselt.

> > firewall,
> hmmm. Hier ist auch die "wirklich verstandene" Konfiguration
> deutlich wichtiger als das verwendete Werkzeug.
> Ich wuerde mich - fuer den Beginn - weitgehend auf die Boardmittel
> (also ipfw oder ipfilter) beschraenken.

Ich würde auch RTFM empfehlen oder noch besser vom Boss eine
Schulung zahlen lassen. Unsere Firma bietet solche Schulungen an.
Wenn Interesse besteht... Oops, ich hoffe ich bekomme jetzt nicht
wegen Schleichwerbung auf die Bretzel ;-)

> Allerdings gab es - als wir uns entschieden haben - auch postfix
> (www.postfix.org) noch nicht. Auf postfix wuerde meine Wahl wohl
> heute fallen.

BTW, FreeBSD setzt postfix als MTA ein.

> Fuer den Mailserver gilt auf jeden Fall, dass man sich die Auswahl
> gut ueberlegen sollte; die Umstellung eines Mailservers im
> Produktionsbetrieb ist nicht soooo einfach.

Nun, abends ausprobieren, implementieren fertig. Ich hatte damals
Wiechers zum Erstauenen meiner damaligen Kollegen in einer Nacht
und Nebel Aktion binnen einer Stunde umgestellt. Mit Test danach.

Wenn die übrigen Mailserver weiterlaufen, dann kannst Du
doch mit sendmail alle Dinge weiterforwarden oder ggf. bereits
je nach domain an unterschiedliche Intranet Server schicken.

Klappte wunderbar und vor allem wie erwartet ;-)

> > newsserver
> hier hab' ich selbst keine grossartigen Erfahrungen. Aber ich
> glaube, dass die wirklichen Feinheiten des News-Betriebs an einem
> Endknoten wohl nicht sooo relevant sein werden.

Wenn Dein Provider Dir News gebatched via UUCP schicken kann,
dann ist das ne feine Sache. Ich habe hier inn laufen. Der
inn-stable port kann weiterempfohlen werden.

dnews ist auch ganz nett, aber irgendwie finde ich das tool
nicht so klasse. Aber er saugt halt dynamisch die Newsgroups,
die Du gerne liest ... Wann, das kannst Du festlegen.

Ist aber keine Freeware ...

> Aber man sollte sich auch nichts vormachen; ... Server, die
> wirklich benutzt werden erzeugen nunmal einen gewissen Wartungsaufwand.

Tja, ein paar scripts können da helfen ... ;-) Dafür muß man aber
auch erstmal wissen, was anfällt und das kommt erst im Laufe der
Zeit raus...

> ... nunja ... Wie gross ist das Netz denn? Was hilft ne Gigabit-Anbindung
> fuer den Gateway-Rechner ans Firmennetz, wenn die Daten ueber 'ne
> 64kBit-Leitung hereintroepfeln.

Dann wäre schon 100 MBit full duplex vs half duplex interessanter ;-)

> _mindestens_ 3 Rechner:
> Internet----[ ISDN/IP-Router z.B. Bintec Brick XS ]
> [ 'ordentlicher' Satz an Packet-Filtern ]
> |
> D|
> M+---[ BSD-Kiste 1 ]
> Z| [ extern verfuegbare Dienste]
> |
> [ BSD-Kiste 2 ]
> [ Gateway / Firewall / Proxies]
> |
> |L
> |A
> |N
> |
> +----[ BSD-Kiste 3
> | [ interne Dienste, wie samba, etc. ]
> |
> +----[ weitere interne Server ]
> | [ z.B. Novell / NT o.aeh. ]
> |
> |-- ... [ Workstations ]

Was gegen zwei Cisco's einzuwenden mit IP+ und firewall featureset ?

> > rsh,
> wech damit.
ja

> > (fand ich nicht so toll zum konfigurieren, aber ich habe
> > auch rtfm nicht beachtet);
> nunja. Wenn Du schon eine (zumindest was einen brauchbaren Basisbetrieb
> angeht) so _einfach_ zu konfigurierende Software als "nicht so toll"
> empfindest, vermute ich, dass Ihr auf jeden Fall professionelle
> Hilfe brauchen werdet ...
> Und einen dicken Stapel der einschlaegigen Buecher solltest Du Dir
> evtl. auch noch besorgen und _wirklich_ lesen.

Vielleicht hilt Dir webmin weiter ? Ich hab's allerdings noch nie
selber eingesetzt, ich mag clicktools nicht.

> > 100MBit-Switch; FBSD 2.2.8; und auf SUN NetBSD 1.1.3; DDS-2
> > Streamer über ufsdump als Backup (recht unkomfortabel)
> ... ich evaluiere gerade fuer einen Kunden 'bru2000'
> siehe: www.freebsdmall.com

Ich würde amanda auf einem der internen Rechner laufen lassen.
Am besten mit einer holding Disk, die 1-2 zwei level eins dumps
aufnehmen kann. Damit kannst Du dann etliche Unix Rechner über
Netzwerk dumpen. Ist einfach genial. Aber ein Filesystem sollte
möglichst nie größer sein, als Dein Streamer packen kann.
Dabei nicht vergessen, daß komprimierte tar archive von Deinem
Tape nicht mehr weiter komprimiert werden können.

> und wenn Du zwischen zwei Unix-Kisten ein 'shared filesystem' haben
> moechtest, bietet sich eigentlich immer noch 'nfs' als erste Wahl
> an.

Aber niemals in einem ungeschützen Netz. NFS ist insecure.
Also am besten nie zwischen DMZ und internem Netzwerk.
Ich hörte das von einem Kollegen, daß er mal einer Security
Überprüfung beiwohnte, wo jemand ein tool einsetzte um irgendwelche
Dinge zu umgehen oder vorzutäuschen...

-- 
Andreas Klemm                                  http://www.FreeBSD.ORG/~andreas
                                     http://www.freebsd.org/~fsmp/SMP/SMP.html
                                   powered by Symmetric MultiProcessor FreeBSD
Get new songs from our band: http://www.freebsd.org/~andreas/64bits/index.html
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message
Received on Thu 02 Sep 1999 - 08:00:45 CEST

search this site