12
Mailserver und Webserver in DMZ stellen
Hey,
ich würde gerne in der nächsten Zeit 1 Mailserver und 2 Webserver installieren und die drei Server sollen im Internet verfügbar sein über die DMZ.
Meine Frage ist jetzt, was für einen Provider brauche ich, um für die Server drei IP Adressen zu bekommen? Damit man jeden Server über das Internet ansteuern kann, Aber auch intern müssen die Server verfügbar sein.
Wie muss ich das ungefähr aufbauen?
Über Antworten würde ich mich sehr freuen.
Lg
Katrin
ich würde gerne in der nächsten Zeit 1 Mailserver und 2 Webserver installieren und die drei Server sollen im Internet verfügbar sein über die DMZ.
Meine Frage ist jetzt, was für einen Provider brauche ich, um für die Server drei IP Adressen zu bekommen? Damit man jeden Server über das Internet ansteuern kann, Aber auch intern müssen die Server verfügbar sein.
Wie muss ich das ungefähr aufbauen?
Über Antworten würde ich mich sehr freuen.
Lg
Katrin
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113534
Url: https://administrator.de/forum/mailserver-und-webserver-in-dmz-stellen-113534.html
Ausgedruckt am: 11.04.2025 um 14:04 Uhr
12 Kommentare
Neuester Kommentar
eigntlich kann dir jeder provider, der dir eine fest ip adresse besorgen kann, auch drei ips schalten lassn, gegen einen kleinen obulus versteht sich. die frage ist aber auch, warum du dafür drei ips brauchst und ob es nicht drei domains auf eine ip auch tun würden. du kannst auf einem webserver ja mehr als eine domain hosten. wie das geht kommt auf deinen webserver drauf an.
netzwerktechnisch brauchst du halt ne firewall die dann dnat für die externe ip oder den port wenn du es mit nur einer ip machst auf die maschine in der dmz macht.
netzwerktechnisch brauchst du halt ne firewall die dann dnat für die externe ip oder den port wenn du es mit nur einer ip machst auf die maschine in der dmz macht.
Du kannst jeden beliebigen Provider nehmen, denn diese Banalanforderungen kann heute jeder Provider bedienen.
Aufbauen tust du das am besten mit einer Firewall wie z.B.: M0n0wall
http://m0n0.ch/
http://forum.m0n0.ch/index.php?topic=1333.msg4344
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
oder IPcop:
http://www.ipcop-forum.de/manuals/examples/green-red-orange.png
oder Endian:
http://www.endian.com/de/products/features/network-security/
oder...oder...
Aufbauen tust du das am besten mit einer Firewall wie z.B.: M0n0wall
http://m0n0.ch/
http://forum.m0n0.ch/index.php?topic=1333.msg4344
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
oder IPcop:
http://www.ipcop-forum.de/manuals/examples/green-red-orange.png
oder Endian:
http://www.endian.com/de/products/features/network-security/
oder...oder...
Hi chewbakka,
vielen Dank für die Antwort.
Also der Webserver ist ein ganz normaler Linux Rechner Apace usw... (also beide Webserver)
Es sind drei verschiedene Geräte. Benötigt nicht jeder Rechner dann eine eigene IP?
Die drei Server sind mit einem normalen Netzwerk Switch verbunden. Und diesen Switch müsste ich dann mit der DNAT verbinden? Oder wie läuft das? Bis jetzt habe ich nur einen normalen Router.
Und wie läuft das andere? Also das mit dem Port?
Lg
Katrin
vielen Dank für die Antwort.
Also der Webserver ist ein ganz normaler Linux Rechner Apace usw... (also beide Webserver)
Es sind drei verschiedene Geräte. Benötigt nicht jeder Rechner dann eine eigene IP?
Die drei Server sind mit einem normalen Netzwerk Switch verbunden. Und diesen Switch müsste ich dann mit der DNAT verbinden? Oder wie läuft das? Bis jetzt habe ich nur einen normalen Router.
Und wie läuft das andere? Also das mit dem Port?
Lg
Katrin
Hi aqui,
vielen Dank für die Antwort und die Links.
Die Server kommen ja dann hinter die Firewall? Wie stelle ich dass dann mit den IP Adressen bei den Servern ein? Bis jetzt hat jeder Server eine lokale IP.
vielen Dank für die Antwort und die Links.
Die Server kommen ja dann hinter die Firewall? Wie stelle ich dass dann mit den IP Adressen bei den Servern ein? Bis jetzt hat jeder Server eine lokale IP.
ein normaler wald und wiesen dsl router wird mit mehr als einer ip so seine probleme haben. wenn du nicht einen eigenen rechner nur als firewall laufen lassen willst besorg dir einen router auf der die dd-wrt (oder auch open-wrt) läuft.
gern genommen sind die aus der linksys wrt54 reihe (wobei man da ein wenig auf die version achten muss.
http://dd-wrt.com/wiki/index.php/Main_Page
gern genommen sind die aus der linksys wrt54 reihe (wobei man da ein wenig auf die version achten muss.
http://dd-wrt.com/wiki/index.php/Main_Page
Was nützen Ihr denn die tollen Tips mit den Selbstbauroutern, wenn es schon mit der Theorie hapert?
Für eine vernünftige Serveranbindung braucht es einen SDSL-Anschluß und ein kleines Transfernetz. Der Provider QSC bietet recht günstige Zugänge an (wenn man > 200 EURO / Monat als günstig bezeichnet) und kann einem auch ein paar zusätzliche IP-Adressen reichen. Wenn die Server nicht über port-Adressen wie www.soundso.de:80,8080,81 etc. angesprochen werden sollen, sind offizielle adressen ein Muss. Ansonsten kann man eine ainfache Portweiterleitung machen. Jetzt braucht man nur noch jemanden, der sich mit Routern auskennt (Selbstbau, Lancom, etc.) und es kann losgehen.
Gruß, Arch Stanton
Für eine vernünftige Serveranbindung braucht es einen SDSL-Anschluß und ein kleines Transfernetz. Der Provider QSC bietet recht günstige Zugänge an (wenn man > 200 EURO / Monat als günstig bezeichnet) und kann einem auch ein paar zusätzliche IP-Adressen reichen. Wenn die Server nicht über port-Adressen wie www.soundso.de:80,8080,81 etc. angesprochen werden sollen, sind offizielle adressen ein Muss. Ansonsten kann man eine ainfache Portweiterleitung machen. Jetzt braucht man nur noch jemanden, der sich mit Routern auskennt (Selbstbau, Lancom, etc.) und es kann losgehen.
Gruß, Arch Stanton
Arch hat da leider nicht ganz Unrecht....
Auch eine fertige FW wird da dann nicht helfen...und sich auf Externe zu verlassen die schlimmstenfalls noch weniger wissen ist umso gefährlicher !!
"...dann mit den IP Adressen bei den Servern ein? "
A.: Eigentlich ganz einfach: Von deinem Provider der Wahl bekommst du ein kleines öffentliches Subnetz.
Aus diesem Subnetz gibst du dem Firewall Interface und den Servern IP Adressen aus diesem Netz.
Dan customized du über das Webinterface der Firewall die Accesslisten für den Zugriff von außen und von innen und gut ist.
Mit etwas Know How ist das recht einfach zu lösen...
Auch eine fertige FW wird da dann nicht helfen...und sich auf Externe zu verlassen die schlimmstenfalls noch weniger wissen ist umso gefährlicher !!
"...dann mit den IP Adressen bei den Servern ein? "
A.: Eigentlich ganz einfach: Von deinem Provider der Wahl bekommst du ein kleines öffentliches Subnetz.
Aus diesem Subnetz gibst du dem Firewall Interface und den Servern IP Adressen aus diesem Netz.
Dan customized du über das Webinterface der Firewall die Accesslisten für den Zugriff von außen und von innen und gut ist.
Mit etwas Know How ist das recht einfach zu lösen...
Moin,
also in der Theroie ist das ganz einfach zu lösen: Dein Webserver bekommt die IP 192.168.0.1, dein Mailserver 192.168.0.2. Dein Webserver bekommt 2 Virtual hosts -> a) www.domain1.de und b) www.domain2.de)
In deiner Firewall richtest du jetzt ein das alle Anfragen von extern an den Port 80 auf den Webserver weitergeleitet werden. Ebenfalls lässt du domain1.de und domain2.de auf deine öffentliche IP zeigen. Jetzt werden (bei richtiger Konfiguration) schonmal deine beiden Webserver durch einen ersetzt. Deinen Mailserver (kann - je nach wunsch - auch auf dem Webserver laufen) bekommt einfach alles was an deine Firewall auf Port 25 (ggf. 110 / 143 und falls gewünscht auch die entsprechenden Secure-Ports) geht.
Allerdings: BEVOR du das ganze Aufbaust würde ich empfehlen das du dich mit Firewalls usw. beschäftigst. Denn egal ob du jedem Server eine öffentliche IP gibst oder ob du domain1.de und domain2.de auf die Firewall laufen lässt --> du holst dir definitiv Angriffsversuche ins Netz (ich habe selbst hier einige öffentliche IPs @home - und habe auf den entsprechenden Maschinen (alles vm's) täglich bis zu 100 Angriffe wobei davon ggf. mal 1 - 2 wirklich so ernsthaft sind das die überhaupt ne Chance hätten durchzukommen). Daher gilt hier das du mit Grundkenntnissen in Linux und in der Firewall-Technik nicht weit kommst - ein solcher Server gehört vernünftig abgesichert... (Ok, es gibt genug mehr oder weniger offene Server weil die Admins es einfach nicht besser können - aber das sollte jetzt kein Grund sein das du es nicht besser machst, oder?).
Gruß
Mike
also in der Theroie ist das ganz einfach zu lösen: Dein Webserver bekommt die IP 192.168.0.1, dein Mailserver 192.168.0.2. Dein Webserver bekommt 2 Virtual hosts -> a) www.domain1.de und b) www.domain2.de)
In deiner Firewall richtest du jetzt ein das alle Anfragen von extern an den Port 80 auf den Webserver weitergeleitet werden. Ebenfalls lässt du domain1.de und domain2.de auf deine öffentliche IP zeigen. Jetzt werden (bei richtiger Konfiguration) schonmal deine beiden Webserver durch einen ersetzt. Deinen Mailserver (kann - je nach wunsch - auch auf dem Webserver laufen) bekommt einfach alles was an deine Firewall auf Port 25 (ggf. 110 / 143 und falls gewünscht auch die entsprechenden Secure-Ports) geht.
Allerdings: BEVOR du das ganze Aufbaust würde ich empfehlen das du dich mit Firewalls usw. beschäftigst. Denn egal ob du jedem Server eine öffentliche IP gibst oder ob du domain1.de und domain2.de auf die Firewall laufen lässt --> du holst dir definitiv Angriffsversuche ins Netz (ich habe selbst hier einige öffentliche IPs @home - und habe auf den entsprechenden Maschinen (alles vm's) täglich bis zu 100 Angriffe wobei davon ggf. mal 1 - 2 wirklich so ernsthaft sind das die überhaupt ne Chance hätten durchzukommen). Daher gilt hier das du mit Grundkenntnissen in Linux und in der Firewall-Technik nicht weit kommst - ein solcher Server gehört vernünftig abgesichert... (Ok, es gibt genug mehr oder weniger offene Server weil die Admins es einfach nicht besser können - aber das sollte jetzt kein Grund sein das du es nicht besser machst, oder?).
Gruß
Mike
Vielen Dank für die vielen Antworten.
Was für eine Verbindungsgeschwindigkeit muss ich nehmen?
Was für eine Verbindungsgeschwindigkeit muss ich nehmen?
Die Verbindungsgeschwindigkeit hängt von dem erwarteten Traffic ab...
Hast du z.B. einen sehr hohen Mail-Eingang (Catch-All-Adresse auf deinemn Mailserver und keinen vorgeschalteten Spamfilter z.B. beim Provider) kannst du damit rechnen das du eine recht hohe Empfangsgeschwindigkeit ("Download") brauchst. Bietest du auf deinem Webserver Daten zum Download an oder versendest du häufig grosse Dateien (im MByte-Bereich) brauchst du eine hohe Sende-Geschwindigkeit (Upload).
Daher kannst du hier ohne genaue Daten keine vernünftige Empfehlung bekommen... (Ich kenne Firmen die kommen mit 64 kbit noch hin - und ich kenne Firmen die 30 MBit schonmal auslasten können...)
Hast du z.B. einen sehr hohen Mail-Eingang (Catch-All-Adresse auf deinemn Mailserver und keinen vorgeschalteten Spamfilter z.B. beim Provider) kannst du damit rechnen das du eine recht hohe Empfangsgeschwindigkeit ("Download") brauchst. Bietest du auf deinem Webserver Daten zum Download an oder versendest du häufig grosse Dateien (im MByte-Bereich) brauchst du eine hohe Sende-Geschwindigkeit (Upload).
Daher kannst du hier ohne genaue Daten keine vernünftige Empfehlung bekommen... (Ich kenne Firmen die kommen mit 64 kbit noch hin - und ich kenne Firmen die 30 MBit schonmal auslasten können...)
@maretz
In deiner Konstellation muss DieKatiRe87 aber gar keine öffentliche IP oder ein Subnetz vom Provider beantragen, da du dann ganz einfach mit Port Forwarding arbeitest was auch nicht so wirklich ein DMZ Konzept ist sondern mehr so ein halbes DMZ Konzept.
Für DieKatiRe87 reicht dann lediglich eine feste statische IP die sie vom provider bekommt und ggf. eine Domain darauf wenn sie nicht mit DynDNS Adressen arbeiten will !
Diese Lösung ist vermutlich erheblich preiswerter als ein öffentliches DMZ Subnetz zu beantragen.
Das generelle Problem beim Port Forwarding, so wie du es ihr beschreibst, holt sie aber beim Betrieb von 2 Webservern ein wie sie es vorhat.
Da du pro inbound Port nur eine einzige Port Forwarding Regel definieren kannst hast du bei 2 Webservern in so einer Lösung schon gleich das erste Problem, denn zu welchem willst du nun den Port TCP 80 forwarden....und was machst du dann mit dem 2ten Webserver ??
In deiner Konstellation muss DieKatiRe87 aber gar keine öffentliche IP oder ein Subnetz vom Provider beantragen, da du dann ganz einfach mit Port Forwarding arbeitest was auch nicht so wirklich ein DMZ Konzept ist sondern mehr so ein halbes DMZ Konzept.
Für DieKatiRe87 reicht dann lediglich eine feste statische IP die sie vom provider bekommt und ggf. eine Domain darauf wenn sie nicht mit DynDNS Adressen arbeiten will !
Diese Lösung ist vermutlich erheblich preiswerter als ein öffentliches DMZ Subnetz zu beantragen.
Das generelle Problem beim Port Forwarding, so wie du es ihr beschreibst, holt sie aber beim Betrieb von 2 Webservern ein wie sie es vorhat.
Da du pro inbound Port nur eine einzige Port Forwarding Regel definieren kannst hast du bei 2 Webservern in so einer Lösung schon gleich das erste Problem, denn zu welchem willst du nun den Port TCP 80 forwarden....und was machst du dann mit dem 2ten Webserver ??
Moin,
die Lösung ist bei NameBasedVirtual-Hosts recht einfach: Ich leite Port 80 an den *einzigen* Webserver weiter -> und aufgrund der Anfrage entscheidet der Webserver welche Seite er anzeigt...
Klar ist es nicht die DMZ-Lösung -> aber dafür eine Lösung die grade für Anfänger in dem Bereich vermutlich sicherer ist... Wenn ich nur Port 80 an den Webserver weiterleite und die Firewall den Rest schon vorher wegwirft dann habe ich zumindest da die Sache etwas einfacher... Denn dann brauche ich mich nicht gleich damit auseinandersetzen das jeder Dienst abgesichert wird (oder der komplett abgeschaltet wird) -> sondern kann erstmal davon ausgehen das eben nur Port 80 (d.h. der Webserver) als Schwachstelle gilt... Ich denke für jeden Anfänger gibt es allein da schon mehr als genug zu tun um das vernünftig hinzubekommen (Schwachstellen in der Webseite müssen ja trotzdem behoben werden!).
Stelle ich dagegen gleich n Server mit öffentlichen IPs ins Web muss ich mich gleich um das volle Programm kümmern... Alle Dienste, alle Webseiten, beim Mailserver die Relay-Funktion auch richtig ordentlich machen usw... -> für einen Anfänger rollt da gleich eine ganze Lawine los... Und ich glaube nicht das sowas dann auf dauer sinn macht oder gut geht... Daher der Vorschlag mit dem Forward -> und wenn man dann etwas erfahrung hat dann kann man ja immernoch eine öffentliche IP dazunehmen und die Server recht simpel umswitchen...
die Lösung ist bei NameBasedVirtual-Hosts recht einfach: Ich leite Port 80 an den *einzigen* Webserver weiter -> und aufgrund der Anfrage entscheidet der Webserver welche Seite er anzeigt...
Klar ist es nicht die DMZ-Lösung -> aber dafür eine Lösung die grade für Anfänger in dem Bereich vermutlich sicherer ist... Wenn ich nur Port 80 an den Webserver weiterleite und die Firewall den Rest schon vorher wegwirft dann habe ich zumindest da die Sache etwas einfacher... Denn dann brauche ich mich nicht gleich damit auseinandersetzen das jeder Dienst abgesichert wird (oder der komplett abgeschaltet wird) -> sondern kann erstmal davon ausgehen das eben nur Port 80 (d.h. der Webserver) als Schwachstelle gilt... Ich denke für jeden Anfänger gibt es allein da schon mehr als genug zu tun um das vernünftig hinzubekommen (Schwachstellen in der Webseite müssen ja trotzdem behoben werden!).
Stelle ich dagegen gleich n Server mit öffentlichen IPs ins Web muss ich mich gleich um das volle Programm kümmern... Alle Dienste, alle Webseiten, beim Mailserver die Relay-Funktion auch richtig ordentlich machen usw... -> für einen Anfänger rollt da gleich eine ganze Lawine los... Und ich glaube nicht das sowas dann auf dauer sinn macht oder gut geht... Daher der Vorschlag mit dem Forward -> und wenn man dann etwas erfahrung hat dann kann man ja immernoch eine öffentliche IP dazunehmen und die Server recht simpel umswitchen...
