Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Webserver in DMZ

Mithrandir
10 antwoorden
  • De vorige draad mislukte, ik kon mijn ascii tekening niet plaatsen. Op onderstaande knutselsite heb ik een soort afbeelding neergepletterd.

    http://members.fortunecity.com/djezzer/djezzer/id8.html

    De vraag/toelichting zet ik hier:


    Always-on internet middels ADSL. Op de webserver draait Apache onder linux.
    Op de firewall annex router draait freesco of smoothwall. Waarschijnlijk Smoothwall.
    De firewall-pc is voorzien van 3 netwerkkaarten, 1 voor de internet verbinding, 1 voor de
    webserver verbinding en 1 voor het interne netwerk. Door de webserver een eigen subnetmasker te geven
    wil ik 'm isoleren van mijn interne netwerk, hoef ik geen gaten in de firewall te prikken en kan ik
    (hoop ik) toch onderhoud plegen.
    De hub is voor 10MBit, maximaal 8 aangesloten computers, stackable.
    De pc's van het interne netwerk hebben allemaal userprofiles, ik ben aan het experimenteren met
    roaming profiles. Om diverse redenen heb ik het liefst dat data naar een centraal punt gaat (de fileserver)
    waar ik kan backuppen en wat dingen kan loggen.

    Vragen die ik mijzelf stel zijn:
    1. Is dit voorgestelde schema voldoende veilig en werkbaar?
    2. Is mijn webserver veilig op de voorgestelde manier?
    3. Wat moet ik allemaal dichtgooien op de webserver (welke distributie moet ik draaien) om 'm veilig tegen
    aanvallen van buitenaf te houden?
    4. Is het de moeite waard om LFS op de webserver te zetten, of is dit overkill?

    TIA, dJezzer
  • nog mooier is om achter die firewall
    outer nog een zo'n ding neer te zetten :grin:

    dit kun je vrij eenvoudig doen:
    forward poort 80 op de firewall naar het ip van de webserver en daar het poortnummer waar apache naar luistert

    verder kan het handig zijn om op de webserver poort 22 (ssh) open te zetten, zodat je er niet fysiek achter hoeft te gaan zitten. de rest mag/moet allemaal dicht

    opzich hoef je je niet heel druk te maken om open poorten op je webserver omdat ie masqueraded (gokje) achter de firewall zit en er dus niemand bij kan komen anders dan door op de firewall in te loggen of door port-forwarding.

    wat je ook kunt doen:
    je webserver tevens ftp-server laten zijn (proftp, poort 21, ook dmv forward)

    je grootste gevaar is dus vulnerabilities in de webserver/website (cgi…)

    wat je zou kunnen doen is de firewall van de webserver alle uitgaande requests laten killen (dit kan ook op de firewall - alle inkomende dingen van de webserver ignoren)

    de poorts waar je voor moet oppassen zijn die op de firewall zelf!
    forward 80 naar de webserver
    voor de rest kan alles in princiepe dicht tenzij je wilt:
    - van buitenaf inloggen. ssh open (22)
    - email ontvangen en versturen op de firewall: smpt open (25) (de workstations kunnen hun eigen smtp-poort gebruiken om te ontvangen, smpt van je isp om te versturen)

    ik weet niet helemaal wat je bedoeld met een eigen subnetmasker

    bedoel je dat je je interne netwerk laat praten met ip's in de range 192.168.0.* en je webserver met de firewall in de range 192.168.1.* of zo?

    dan zijn ze fysiek gescheiden. en moet je op de webserver een gateway configureren om daarvandaan naar de rest van het netwerk te kunnen (route add -net blahblah (default) gw = <ip van firewall)
    sowieso is het niet mogelijk (correct me if i am wrong) om twee nic's in 1 pc ip's te geven die alleen in de laatste byte verschillen. (dus allebij in 192.168.0.*)

    btw: je tekeningetje is in netscape 6.2.1 alsnog niet leesbaar :sad: (ook niet met 300% view)
    opera gaat aanvaardbaar met 150%
  • nog mooier is om achter die firewall
    outer nog een zo'n ding neer te zetten :grin:

    dit kun je vrij eenvoudig doen:
    forward poort 80 op de firewall naar het ip van de webserver en daar het poortnummer waar apache naar luistert

    verder kan het handig zijn om op de webserver poort 22 (ssh) open te zetten, zodat je er niet fysiek achter hoeft te gaan zitten. de rest mag/moet allemaal dicht

    opzich hoef je je niet heel druk te maken om open poorten op je webserver omdat ie masqueraded (gokje) achter de firewall zit en er dus niemand bij kan komen anders dan door op de firewall in te loggen of door port-forwarding.

    wat je ook kunt doen:
    je webserver tevens ftp-server laten zijn (proftp, poort 21, ook dmv forward)

    je grootste gevaar is dus vulnerabilities in de webserver/website (cgi…)

    wat je zou kunnen doen is de firewall van de webserver alle uitgaande requests laten killen (dit kan ook op de firewall - alle inkomende dingen van de webserver ignoren)

    de poorts waar je voor moet oppassen zijn die op de firewall zelf!
    forward 80 naar de webserver
    voor de rest kan alles in princiepe dicht tenzij je wilt:
    - van buitenaf inloggen. ssh open (22)
    - email ontvangen en versturen op de firewall: smpt open (25) (de workstations kunnen hun eigen smtp-poort gebruiken om te ontvangen, smpt van je isp om te versturen)

    ik weet niet helemaal wat je bedoeld met een eigen subnetmasker

    bedoel je dat je je interne netwerk laat praten met ip's in de range 192.168.0.* en je webserver met de firewall in de range 192.168.1.* of zo?

    dan zijn ze fysiek gescheiden. en moet je op de webserver een gateway configureren om daarvandaan naar de rest van het netwerk te kunnen (route add -net blahblah (default) gw = <ip van firewall)
    sowieso is het niet mogelijk (correct me if i am wrong) om twee nic's in 1 pc ip's te geven die alleen in de laatste byte verschillen. (dus allebij in 192.168.0.*)

    btw: je tekeningetje is in netscape 6.2.1 alsnog niet leesbaar :sad: (ook niet met 300% view)
    opera gaat aanvaardbaar met 150%
  • Mithrandir, bedankt voor je tips.

    De afbeelding heb ik verplaatst, op navolgende site is'ie wel leesbaar.
    http://www.djezzer.uwnet.nl/netwerkconfiguratie.html

    Het is inderdaad een goet idee de webserver ook als ftp-server te laten fungeren. De website maak ik zo kaal mogelijk, minimale cgi e.d. (weet er ook 3x nix vanaf).

    Ik wil van buitenaf kunnen inloggen en er moet mail door de firewall heen (automagisch mailchecken).

    Jouw uitleg over nic's in 1 pc met -vrijwel- dezelfde ip-nummers was duidelijk. Ik was er nog niet helemaal uit hoe ik dit het best kan realiseren.

    Blijven de volgende vragen nog open:
    - Wat kan ik het best op de firewall laten draaien, e-smith, smoothwall of gewoon freesco?
    - Wat is het best als OS voor de webserver, e.o.a. linuxdistro (welke) of LFS?

    TIA, dJezzer
  • [quote:06e08f0076]
    Op 04-04-2002 11:35 schreef djezzer:

    Blijven de volgende vragen nog open:
    - Wat kan ik het best op de firewall laten draaien, e-smith, smoothwall of gewoon freesco?
    - Wat is het best als OS voor de webserver, e.o.a. linuxdistro (welke) of LFS?

    [/quote:06e08f0076]

    zie je wel, ik wist dat ik iets vergat :grin:

    ik zou voor lfs gaan. compile dat dan voor een 486 cpu, dan kun je het zowel op de webserver als op de firewall gebruiken… :grin:

    niet zozeer omdat het veiliger is (slackware/debian doen het ook prima) maar omdat je er ook veel van leert :grin:

    nadeel van compilen op een 486 is dat het allerakelijkst lang duurt…

    je zult dan wel 'diep' in de firewall sh*t moten duiken.

    [danieldk/mr_lee_john mode]
    overweeg ook eens een BSD variant
    [/.. mode]

    esmith/smoothwall/freesco ken ik niet, maar ze zullen niet slecht zijn (anders was niet iedereen zo positief :grin: )

    je kunt btw LFS ook op je P4 compilen met host target en build opties, mcpu en march compiler flags

    als je geen trek hebt in lfs, neem dan een minimale versie van slackware met proftp en apache (en sshd 3.nieuwst)
  • [quote:f9dd495e13]
    je kunt btw LFS ook op je P4 compilen met host target en build opties, mcpu en march compiler flags
    [/quote:f9dd495e13]

    Dat was wel mijn bedoeling :razz: Ik heb geen zin in 18 uur wachten om te zien dat ik iets fout heb gedaan :wink:
    En ik ga ervan uit dat dit in het LFS handboek staat …

    Wederom bedankt,
    Greetz, dJezzer
  • dat staat er niet in :sad:
  • hmmm, dat is minder fijn :sad: . Enig idee waar dit soort informatie te vinden is (onder welk onderwerp valt dit) ?

    Greetz, dJezzer
  • als je er echt alles van wilt weten dan moet je de manuals/online documentatie van gcc eens doorlezen… :grin:

    wat je ook kunt doen is een aantal compilerflags als omgevingsvariabele instellen:
    export CFLAGS="-march=i486 -mcpu=i486 -O2"

    (btw: O2 = hoofdletter+cijfer)
    de compiler gaat dan voor 486 cpu's code maken.

    ik weet niet of je dan nog met HOST BUILD en TARGET moet gaan werken. ik vermoed het niet (dit is dacht ik als je voor een andere arcitectuur wilt compilen - dus op een intel voor een powerpc/motorola/sun/enz)

    edit: sowieso kun je h5 ongeveer overal doen, h6 in princiepe ook, distro's doen dat nl ool.

    edit: bij het LFS project zijn ook heel veel hints geschreven door vrijwilligers. een van die hints zul jij heel interessant vinden :grin:
    en wel deze: crosscompiling-x86
    die vertelt je hoe je op je snelle bak een systeem voor je oude machine kunt maken…
    (ik kwam hem tegen toen ik voor je naar een andere hint zocht)

    en wel de Keep_chapter5_and6_seperated
    dit heeft als voordeel dat je zeker geen restjes uit h5 overhoudt in je 'echte' systeem.
    deze hint gaat naar alle waarschijnlijkheid goeddeels in het boek zelf verwerkt worden.

    _________________
    maart 2003

    Het Computer!Totaal forum…
    wat was dat ook al weer.
    het is lang geleden dat ik daar geweest
    ben sinds off-topic daar weg is…

    [ Dit bericht is bewerkt door: Mithrandir op 2002-04-05 11:49 ]
  • kewl, ik heb voorlopig wel weer leeswerk genoeg :grin:

    Bedankt voor alle info, ik zal je tzt met vragen bombarderen :razz:

    Greetz, dJezzer

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.