[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: 2 Webserver mit privater Adressen erreichen

Hi Daniel,

On Fri, 21 Mar 2003 12:36:54 +0100 Daniel Golesny wrote:

>>> nur bei den DNS-Server muesste ich schon zwei haben (primaerer und 
>>> sekundaer), aber das wird wohl auch nicht recht klappen.

>> Yup, laut deiner Grafik liegen sowohl prim. als auch sek. DNS im selben
>> SubNet (hier ja sogar abgebildet auf ein und dieselbe Adresse ;-), das
>> widerspricht afaik dem Sinn und Zweck des zweiten DNS und dürfte auch
>> nicht wirklich funktionieren.

>  Also, wie ich gerade erfahren habe kriege ich doch ein 8er Netz.
>  Das Problem ist also geloesst. Die beiden DNS packe ich dann vor die 
>  Firewall.

Kannst du sicherlich machen, aber mich würde interessieren, warum du
zwei DNS, die sich _gegenseitig_ spiegeln, nebeneinander stellen
willst???

Die Idee des Secondary-DNS ist, dass wenn der primäre durch z.B.
Netzausfall nicht erreichbar ist ein anderer, authorativer, DNS
angesprochen werden kann.
Diese Idee führst du mit zwei DNS, von denen der eine nur Fallback
für den andren sein soll, im selben Subnetz ad absurdum.

Sicherlich könnte man argumentieren "aber wenn der primäre ausfällt,
d.h. nicht durch Netzausfall sondern generell, ist ein zweiter da ...
aber ich glaube wenn dein primärer DNS vor der Firewall ausfällt macht's
der zweite auch nicht mehr lange, denn wenn der Server an sich stabil
ist, bleibt nur eine Attacke als Ursache ...

Bleibt ausserdem noch die Frage, warum du _überhaupt_ zwei DNS-Server
haben willst?!? Läßt du dann auch die beiden bei z.B. der Denic als
primären udn sekundären eintragen? Bietet dein ISP, wenn er dir schon
ein 8-er Subnetz gibt, keine Service, dass du einen von seinen DNS als
secondary verwendest?

>  Aber das Problem mit den Servern habe ich dann immernoch nicht geloesst.

Mit den Webservern?
Ich glaube wenn sie nach aussen auf die selbe IP hören sollen, musst du
schon so etwas wie einen Squid oder ähnliches dazwischen hängen. Wie
soll denn der Paketfilter bei einer Anfrage an:

1.2.3.4:80

entscheiden, ob das für den internen Webserver 1 (192.168.1.10) oder
Webserver 2 (192.168.1.20) ist? Geht nicht. Und IPTABLES spricht kein
'HTTP', kann also einen evtl. 'Host:' Header nicht auswerten. Das
wiederum aber kann z.B. 'Squid'.

Nein, ein HowTo habe ich leider nicht zur Hand, aber ich denke auf der
Squid-Seite sollte man für den Anfang fündig werden können :-)

Ach ja ... der Apache hat ja auch ein 'mod_proxy' Modul ... vielleicht
reicht ja also auch einfach ein dritter Indianer :-) Keine Ahnung nicht,
aber evtl. meldet sich ja noch jemand hier auf der Liste der wüßte wie's
geht ... :-)
-- 
Ciao,
 Pit
Reply to: