NAT - DHCP - DNS

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
bongout
Beiträge: 217
Registriert: 15.08.2003 13:02:23
Kontaktdaten:

NAT - DHCP - DNS

Beitrag von bongout » 17.11.2005 16:29:30

Hi Forum,

auch wenn ich die Bausteine alle einzeln schon ganz gut verstanden und teilweise sogar laufen habe brauche ich ein wenig Rat...

Ich würde mir gerne folgendes Netzwerk aufbauen:

Ein Server, der an die böse, raue Welt des Internet angeschlossen ist. Daneben viele kleine fleissige Server im LAN, die die Arbeit machen sollen.

Anbieten möchte ich folgende Dienste: ssh (soll wohl), http, https, ftp und mail.

Jetzt aber wird's kompliziert: die http Dienste werden von verschiedenen Servern angeboten. Diese melden sich einem einem DHCP, bekommen eine interne 192.xxx IP und melden sich damit am DNS an. Mail und ftp Server haben eine feste interne IP. Daneben steht im LAN noch der eine oder andere Datenbank Server mit fester IP.

Für den ganzen Spass hab' ich eine fix IP zur Verfügung. Mein Provider hat dieser IP domain.tld zugeordnet.

Wenn jetzt einer von aussen server_n.domain.tld erreichen will, muss er ja zunächst einmal auf der Kiste mit der festen IP ankommen und von dort dann weitergereicht werden.

Mich würden die Ideen hier interessieren, wie ich das alles umsetzen kann.

Besonders interessiert mich dabei:

Wo soll ich DHCP / DNS installieren (DMZ oder im LAN)
Wie kann ich meiner Firewall sagen, welcher server welche IP hat
bzw für den Fall die zweite Frage doof ist
Woher weiß NAT an wen server_n gereicht werden soll

vielen Dank schon mal...

PS: und falls jemand auf die Idee kommt ich bin Krösus von wegen 15 Servern und kein Plan von Networking - realisiert worden ist das alles mit XEN (d.h. wenn ich oben von "Server" spreche meine ich eigentlich virtuelle Domains im Sinne von XEN)
Nach oben
Benutzeravatar
herrchen
Beiträge: 3257
Registriert: 15.08.2005 20:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Re: NAT - DHCP - DNS

Beitrag von herrchen » 17.11.2005 17:40:42

bongout hat geschrieben: Jetzt aber wird's kompliziert: die http Dienste werden von verschiedenen Servern angeboten.
warum?
Diese melden sich einem einem DHCP, bekommen eine interne 192.xxx IP und melden sich damit am DNS an.
eine fixe IP für den webserver würde es leichter machen.
Wo soll ich DHCP / DNS installieren (DMZ oder im LAN)
du willst diese dienste nur intern anbieten, was sollen sie dann in der DMZ?
hast du überhaupt eine DMZ?
Woher weiß NAT an wen server_n gereicht werden soll
die FW erkennt den gewünschten dienst am zielport

herrchen
Nach oben
Benutzeravatar
bongout
Beiträge: 217
Registriert: 15.08.2003 13:02:23
Kontaktdaten:

ok - ich bin aufgeflogen....

Beitrag von bongout » 17.11.2005 18:32:20

Hi Herrchen,

ok - vielleicht hab ich nicht ganz richtig gefragt - ich weiß schon, eine Antwort kann nur so gut sein wie die Frage...

Also daher in's Detail:
Zitat:

Diese melden sich einem einem DHCP, bekommen eine interne 192.xxx IP und melden sich damit am DNS an.

eine fixe IP für den webserver würde es leichter machen.
Leider sind es viele Webserver, die mal laufen und mal nicht. Daher bekommt jeder Webserver beim Start eine neue interne IP.
Zitat:

Wo soll ich DHCP / DNS installieren (DMZ oder im LAN)

du willst diese dienste nur intern anbieten, was sollen sie dann in der DMZ?
hast du überhaupt eine DMZ?
Mist - aufgeflogen... DMZ, so dachte ich, ist alles was "von draussen" erreichbar ist. Aber das ist wohl falsch. Was ich meinte war die Frage, ob der DHCP/DNS in's Lan gehört oder auf die Maschine, die am Internet hängt.

Konkret komme ich ja von aussen mit Anfragen an

server_1.domain.tld
server_2.domain.tld
...
server_n.domain.tld

Welche IP zu server_2 gehört, weiß mein DNS. Aber wie erzähl' ich's meiner Firewall, bzw. wie muss ich NAT gestalten, dass wenn server_1.domain.tld an meiner festen IP draussen ankommt, der request an die richtige private IP geroutet wird...

hmm - oder mach ich mir Probleme, wo keine sind?
Nach oben
Benutzeravatar
Pre7ender
Beiträge: 215
Registriert: 26.06.2004 19:06:17
Wohnort: localhost
Kontaktdaten:

Beitrag von Pre7ender » 18.11.2005 13:45:14

im wiki hat es ein iptables script:
http://www.debianforum.de/wiki/?page=in ... bianmanier

da siehst du wie du ports forwarden kannst, hier ein kleiner ausschnitt:

Code: Alles auswählen

## Portforwarding
# Edonkey/Overnet:
iptables -t nat -A PREROUTING -i $EXTDEV -p tcp --dport 4662 -j DNAT --to-dest 192.168.1.14
ich denke, das ist was du schlussendlich willst, oder?
wenn du nur eine public ip hast und hinter dem router mehrere server für das inet erreichbar machen willst, funktioniert das so. hab ich bei mir auch so.

musst du einfach z.b. für den webserver den port 80 vom router an dein internen webserver weiterleiten.
wie das mit dhcp und mehreren ips funktioniert.. frag mich nicht. sieht mir nach einem problem aus :p
ich würde da nur einen webserver hinstellen der dann auch 24/7 läuft.. und wenn du auf ausfallsicherheit gehen möchtest gibts noch die möglichkeit mehrere boxen in ein cluster zu packen, was ich aber noch nie ausprobiert habe und mir auch nach einer grösseren aufgabe aussieht.

viel erfolg
Nach oben
Benutzeravatar
bongout
Beiträge: 217
Registriert: 15.08.2003 13:02:23
Kontaktdaten:

Beitrag von bongout » 18.11.2005 15:18:25

Hey,

danke - das war genau die Richtung, die mir fehlte....

Und zum Hintergrund: Einer der webserver läuft ja auch 24/7... für den ist das dann auch ken Prob. Die anderen sind Demo Server, die immer wieder als "jungfräuliches" System für eine begrenzten Zeitraum zur Verfügung stehen und dann "sterben".

Für diese werde ich wohl ein start script bauen (muss ich sowieso) dass dann auch die nötigen info's an meine Firewall weitergibt.

Mal sehen, was das scripting forum dazu meint :-)
Nach oben
Antworten

Zurück zu „Netzwerk“