[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: 2 Webserver mit privater Adressen erreichen

Hi Daniel,

On Fri, 21 Mar 2003 16:03:14 +0100 Daniel Golesny wrote:

>> Diese Idee führst du mit zwei DNS, von denen der eine nur Fallback
>> für den andren sein soll, im selben Subnetz ad absurdum.

> Mmmh, ja stimmt auch wieder. Dann werde ich das so einrichten, dass der 
> ISP (wie du vorgeschlagen hast) den Secundaery DNS einrichtet und die 
> Daten immer von dem primaeren runterzieht.

Macht der Secondary automagisch.
Der ISP muss die Domain in seinem DNS nur als "slave" kennzeichnen und
du must selbigen im ZONE-File als NS eingetragen haben und dann schickt
dein DNS bei Änderungen im ZONE-File automatisch eine Nachricht an alle
eingetragenen Secondaries die dann ihrerseits alleine angerannt kommen
und ihre Daten aktualisieren ... vorausgesetzt du hast ihnen den
ZONE-Transfer (AXFR) nicht verboten :-)

>> aber ich glaube wenn dein primärer DNS vor der Firewall ausfällt macht's
>> der zweite auch nicht mehr lange, denn wenn der Server an sich stabil
>> ist, bleibt nur eine Attacke als Ursache ...

> Ja, ist schon richtig. Es kann entweder eine Attacke oder 
> Hardware-Defekt sein.

Wobei zweiteres wesentlich seltener sein sollte als eine Attacke :-)

>> Bleibt ausserdem noch die Frage, warum du _überhaupt_ zwei DNS-Server
>> haben willst?!? Läßt du dann auch die beiden bei z.B. der Denic als
>> primären udn sekundären eintragen? Bietet dein ISP, wenn er dir schon
>> ein 8-er Subnetz gibt, keine Service, dass du einen von seinen DNS als
>> secondary verwendest?

> Ich kann das machen, wie ich moechte. Natuerlich ist es besser, die DNS 
> zu trennen und das ist hiermit in mein so langsam werdendes Konzept 
> aufgenommen :-)

Ist auch sinnvoll, denn wenn wirklich "nur" ein Hardwaredefekt den P-DNS
lahm legt hast du die Fallback-Lösung, und _zusätzlich_ bei einem
Netzausfall eben auch. Beide nebeneinander würde nur Fall 1) abdecken :-)

>>>  Aber das Problem mit den Servern habe ich dann immernoch nicht geloesst.

>> Mit den Webservern?
>> Ich glaube wenn sie nach aussen auf die selbe IP hören sollen, musst du
>> schon so etwas wie einen Squid oder ähnliches dazwischen hängen. Wie
>> soll denn der Paketfilter bei einer Anfrage an:
>> 
>> 1.2.3.4:80

> Ja, genau deswegen frage ich ja, ob es da eine Moeglichkeit gibt.
> Aber ich will eigentlich sowieso nur einen Service pro Rechner haben und 
>   wenn es nicht anders geht, dann kann ich wenigstens vor meinem Chef 
> gut argumentieren :-)

Also du könntest, terroristisch, schon auf einer Maschine HTTP und SMTP
fahren und das mit IPTABLES differenziert betrachten.
Du kannst nur eben nicht zwei interne HTTPs auf eine öffentliche
IP-Adresse abbilden, ohne so etwas wie Squid o.Ä. ins Spiel zu bringen.

Also pro Rechner '>1 Service' ist OK, aber 'x Recher für einen Service'
kannst du schlecht nach aussen (ausserhalb des Gültigkeitsbereiches
deiner privaten IPs) kommunizieren :-) 

30 Webserver in deinem LAN über eine IP nach draussen kommuniziert
wirken nach draussen auch erst einmal wie _ein_ Webserver.

>> entscheiden, ob das für den internen Webserver 1 (192.168.1.10) oder
>> Webserver 2 (192.168.1.20) ist? Geht nicht. Und IPTABLES spricht kein

> Das habe ich mir irgendwie schon gedacht.

>> 'HTTP', kann also einen evtl. 'Host:' Header nicht auswerten. Das
>> wiederum aber kann z.B. 'Squid'.

> Ach ne, das mache ich nicht. Ich beschraenke mich auf einen Service, 
> fertig. Das muss reichen.

"Müssen" gibts da nicht :-) Wenn's mal nicht mehr reicht stehst du im
Regen.
Aber unabhängig davon schriebst du in einer anderen Mail was von
skalieren ... Da solltest du dann jetzt schon mit anfangen.
Die Webserver kannst du über einen Squid skalieren (vorausgesetzt die
Datentranfermenge aller Webserver zusammen übersteigt nicht irgendwann
die Durchsatzleistung des Proxys).
Problematischer wird's wenn du evtl. noch andere Dienst, wie SMTP oder
POP3 "skalieren" möchtest. Da spielt Squid dann nicht mehr einfach so
mit, woher sollte es auch wissen, welcher interne POP3 gemeint ist, für
dieses Protokoll gibt's keinen 'Host:' Header o.Ä.

Aber mal ganz ehrlich: wenn du wirklich mal die 256 Kisten im LAN stehen
hast, die alle von aussen erreichbar sein müssen, solltest du eh über
Platz in einem Rechenzentrum nachdenken, oder wenn die 100MBit-Leitung
dann schon liegt zumindest von deinem ISP mehr als die 8 IPs bekommen
können :-) Bei 256 Rechnern (oder auch nur 50) die alle aktiv gebraucht
und von aussen benutzt werden macht ihr soviel Traffic, dass euer ISP
euch die Subnetze hinterher schmeissen wird um euch als Kunden zu
behalten :-)))
-- 
Ciao,
 Pit
Reply to: