Hallo,
Bin am überlegen mir einen kleinen Domainserver / Internet Proxy fürs Heimnetz einzurichten. Hierfür möchte ich eine second hand NT Server 4.0, MS Backoffice 4.0 oder MS Backoffice 4.5 benutzen.
Welche Hardware-anforderungen sind hierfür gegeben? Sprich kann ich einen „normalen“ ausgemusterten PC benutzten (Pentium 200+ MHz) oder benötige ich hierfür einen „echten“ Server?
Desweiteren wo liegt der Vorteil zwischen der Backoffice und dem normalen NT Server 4.0?
Danke
Hallo,
Bin am überlegen mir einen kleinen Domainserver / Internet
Proxy fürs Heimnetz einzurichten. Hierfür möchte ich eine
second hand NT Server 4.0, MS Backoffice 4.0 oder MS
Backoffice 4.5 benutzen.
Ganz schlechte Idee. Der Support für Windows NT ist nicht wirklich verfügbar. Damit bekommst Du keine Security-Fixes mehr. http://www.heise.de/newsticker/meldung/48729
Welche Hardware-anforderungen sind hierfür gegeben? Sprich
kann ich einen „normalen“ ausgemusterten PC benutzten (Pentium
200+ MHz) oder benötige ich hierfür einen „echten“ Server?
Wenn Du das Problem unter Linux oder einem freie Unix lösen kannst, solltest Du mit einem PC in der Größenordnung gut hinkommen.
Zu Windows selber kann ich nichts sagen, fürchte aber, daß das auf der Hardware gewaltig knapp wird.
Gruß,
Sebastian
Bin am überlegen mir einen kleinen Domainserver / Internet
Proxy fürs Heimnetz einzurichten. Hierfür möchte ich eine
second hand NT Server 4.0, MS Backoffice 4.0 oder MS
Backoffice 4.5 benutzen.Ganz schlechte Idee. Der Support für Windows NT ist nicht
wirklich verfügbar. Damit bekommst Du keine Security-Fixes
mehr. http://www.heise.de/newsticker/meldung/48729
Ist schons klar, aber dafür gibts den aber mittlerweil fast umsonst…
Und fürs Heimnetz, naja schlimm wärs nicht 
Wenn Du das Problem unter Linux oder einem freie Unix lösen
kannst, solltest Du mit einem PC in der Größenordnung gut
hinkommen.
Hm, bin ganz Ohr…
Die Idee ist halt zuhaus den Internet zugang zu regeln, sprich ich darf alles 
)), die lieben Kleinen jedoch nicht, oder besser, falls sie über ihr zugestandenes Monatspensum gehen, dürfen sie es halt vom Taschengeld bestreiten…
Grössenordnung sind somit ±5 PC am Server
[WinNT-server]
Ganz schlechte Idee. Der Support für Windows NT ist nicht
wirklich verfügbar. Damit bekommst Du keine Security-Fixes
mehr. http://www.heise.de/newsticker/meldung/48729Ist schons klar, aber dafür gibts den aber mittlerweil fast
umsonst…
GNU/Linux auch.
Und fürs Heimnetz, naja schlimm wärs nicht
So, wie ich das unten verstehe, steht das Ding mit einem Bein im Internet. Da will man keine Sicherheitsluecken drauf haben.
Hm, bin ganz Ohr…
- Welche Distribution würdest du denn empfehlen?
Debian. Fuer Einsteiger gibt es bei SuSE ein schickes gedrucktes Handbuch und ein paar Monate Installationssupport. Dann kostet das aber etwas Kleingeld. SuSE ist aber eigentlich nicht die ideale server-Distribution, fuer zu Hause tut es aber.
- Proxy für min. Web
Squid. Sehr einfach, hab ich beim ersten Mal ‚aus Versehen‘ eingerichtet.
und ftp
Frox oder so aehnlich. Ansonsten kann das AFAIK auch der squid.
- interner Webserver,
Fuer’s grosse: apache. Ansonsten gibt es auch mehrere kleine, schlankere HTTP-server.
mailserver,
Postfix oder qmail.
domainserver
Bind.
- Firewall mit DMZ Features,
Ist ganz tief im Betriebssystem schon drin (im Kernel). Frontend ist iptables.
min. 3 NICs, ev. auch virtuell auf 1 physischen
Manchmal bin ich ueber die Fragen von Windows-Nutzern schon erstaunt: mir waere nie im Leben eingefallen, dass es Betriebssysteme gibt, die diesbezueglich Einschraenkungen haben.
- Antivirus/Spam Server basiert
Amavis und SpamAssassin.
- User identification,
NIS, LDAP oder Samba…
mit Bandbreitenbegrenzung, Routing, Rechten und download
begrenzung/aufsummierung (wegen download default des IP, mehr
kostet extra)
Auch schon mit Kernel und ein paar shelltools.
Prinzipiell ist das alles mit Linux kein Problem. Du wirst Dich aber natuerlich in eine voellig neue Welt einarbeiten muessen. Die Konzepte von Linux und Windows unterscheiden sich teilweise grundlegend. IMHO lohnt sich der Aufwand aber.
Viel Spass,
Gruss vom Frank.
Und fürs Heimnetz, naja schlimm wärs nicht
So, wie ich das unten verstehe, steht das Ding mit einem Bein
im Internet. Da will man keine Sicherheitsluecken drauf
haben.
Stimmt, aber wegen folgendem denk ich ists unkritisch…?
min. 3 NICs, ev. auch virtuell auf 1 physischen
Manchmal bin ich ueber die Fragen von Windows-Nutzern schon
erstaunt: mir waere nie im Leben eingefallen, dass es
Betriebssysteme gibt, die diesbezueglich Einschraenkungen
haben.
Naja, also in Windows selbst ist es wohl kein Problem sämtliche physische Slots mit Netzwerkkarten zu belegen und anzusprechen… Wie es jedoch mit rein virtuellen Netzwerkkarten, ohne anbindung an physikalische Adapter weis ich nicht…
Desweiteren zielte meine Frage darauf ab, ob die entsprechende Software damit zurecht kommt, falls denn überhaupt machbar…
- Antivirus/Spam Server basiert
Amavis und SpamAssassin.
Sind diese frei erhältlich, haben aktuelle Virendefinitionen und funktionieren in der beschriebenen Art und Weise? Also scan vom Datenstream durch den (Linux-)server?
Prinzipiell ist das alles mit Linux kein Problem. Du wirst
Dich aber natuerlich in eine voellig neue Welt einarbeiten
muessen. Die Konzepte von Linux und Windows unterscheiden
sich teilweise grundlegend. IMHO lohnt sich der Aufwand aber.
Auch die Anbindung an die entsprechenden Clients? Sprich die entsprechenden PC, welche dann immer noch unter Windows laufen. Wie sieht es mit diesen Online-Spielen aus, funktioniert das dann auch noch durch den (Linux-)server hindurch, oder online Banking vom Windows Rechner?
Naja, gebs ja zu Linux kenn ich (noch) nicht so gut 
Tgellan
So, wie ich das unten verstehe, steht das Ding mit einem Bein
im Internet. Da will man keine Sicherheitsluecken drauf
haben.Stimmt, aber wegen folgendem denk ich ists unkritisch…?
- soll das Teil ja eh firewall haben/sein
AFAIK sind die Moeglichkeiten, Windows-Rechner Pakete filtern zu lassen aeusserst begrenzt. Darueberhinaus ist eine firewall etwas anderes. Falls Du auf ZoneAlarme, irgendwelchen Norton-Krempel anspielst: vergiss es, das sind keine firewalls und fuer router auch absolut ungeeignet.
- hab ich eh eine dynamische IP,
Das ist kein Sicherheitsfeature.
welche sogar von IP bei EINGEHENDEN Verbindungen nach max 5min
gewechselt wird (was nebenbei eine grosse Sauerei ist…)
Haeh? Darf man das noch Internet-Zugang nennen? Darueberhinaus gehoeren IP#s zu IP (Internet Protocol) und das kennt keine ‚Verbindungen‘. Du meinst sicher TCP-Verbindungen. Gluecklicherweise muss man die ja nicht annehmen (zumindest unter Linux), koennte sonst ein schoener DoS werden, wenn einem immer die sessions zuklappen, bloss weil von draussen einer staenkern tut.
Naja, also in Windows selbst ist es wohl kein Problem
sämtliche physische Slots mit Netzwerkkarten zu belegen und
anzusprechen… Wie es jedoch mit rein virtuellen
Netzwerkkarten, ohne anbindung an physikalische Adapter weis
ich nicht…
Ich koennte ganze Abhandlungen drueber schreiben: IP#s haben _gar_ _nichts_ mit interfaces zu tun. Ein host kann beliebig viele IP#s voellig unabhaenigig von der Anzahl seiner interfaces haben. Du kannst 12 IP#s ohne ein interface und 12 interfaces ohne eine IP# haben. Bei Windows hat man dieses Konzept aber grundlegend falsch verstanden.
Desweiteren zielte meine Frage darauf ab, ob die entsprechende
Software damit zurecht kommt, falls denn überhaupt machbar…
Ich denke schon. Da man unter *n?x ISO/OSI wesentlich besser begriffen hat muessen sich die Applikationen um solche Details im Allgemeinen nicht kuemmern.
Amavis und SpamAssassin.
Sind diese frei erhältlich,
Ja.
haben aktuelle Virendefinitionen
Ja.
und funktionieren in der beschriebenen Art und Weise?
Aeh… ja.
Also scan vom Datenstream durch den (Linux-)server?
Ich weiss nicht, was Du damit genau meinst. Beide Programme untersuchen auf dem lokalen mailserver mails auf Viren bzw. Spam. Einen (beliebigen) TCP/IP-stream auf unerwuenschte Inhalte zu untersuchen ist aus verschiedenen Gruenden keine gute Idee. Der proxy kann bestimmte Inhalte rausfiltern.
Prinzipiell ist das alles mit Linux kein Problem.
Auch die Anbindung an die entsprechenden Clients? Sprich die
entsprechenden PC, welche dann immer noch unter Windows
laufen. Wie sieht es mit diesen Online-Spielen aus,
Dein eigenes gateway ist nur ein weiterer hop zu Deinen Kommunikationspartnern. Ein Grossteil der Rechner dazwischen werden sowieso *n?x-Rechner sein. Mit Sachen wie NAT eines Netzwerks auf eine oeffentliche IP# gibt es immer Probleme, das aber unabhaengig vom Betriebssystem des NAT-routers. Falls HTTP ueber einen Linux-proxy laeuft gibt es mit manchen webservern Probleme, die sich einbilden, ihre Inhalte nicht an Linux-Rechner rauszugeben. Das Windows-update ist so eine abartige Einrichtung. Kann man aber auch abstellen.
oder online Banking vom Windows Rechner?
Via HTTPS-webinterface: problemlos. Fuer eine genauere Beurteilung muesste ich weitere verwendete Techniken wissen. Proprietaere Formate und Protokolle sind unter Linux manchmal schwierig.
Naja, gebs ja zu Linux kenn ich (noch) nicht so gut
Versuch’s einfach mal, ist sehr spannend.
Gruss vom Frank.
Falls Du auf ZoneAlarme,
irgendwelchen Norton-Krempel anspielst: vergiss es, das sind
keine firewalls und fuer router auch absolut ungeeignet.
Naja, dachte eher an WinGate…
Haeh? Darf man das noch Internet-Zugang nennen?
Darueberhinaus gehoeren IP#s zu IP (Internet Protocol) und das
kennt keine ‚Verbindungen‘. Du meinst sicher
TCP-Verbindungen. Gluecklicherweise muss man die ja nicht
annehmen (zumindest unter Linux), koennte sonst ein schoener
DoS werden, wenn einem immer die sessions zuklappen, bloss
weil von draussen einer staenkern tut.
Nun, ich mein die echte IP nr sprich das 255.255.255.255 Dings… Bei ausgehenden Verbindungen, also was ich von meinem Rechner im Internet tu hat keinen Einfluss auf diese. Versuche ich nun von ausserhalb auf diese IP zuzugreifen, also wenn ich zB einen FTP server zuhaus installiert hab… Dann klappt das auch alles wunderbar. NUR nach spätestens 5min flieg ich raus, versuch ichs dann wieder, klappt es nicht mehr, kuck ich mir dann zuhaus wieder die zugewiesene dynamische an, so hat sie sich verändert! Liegt jedoch immer noch in der Range meines Internet Providers. Ansonsten, ohne eingehende Verbindung, bleibt die IP innerhalb von min. 24 Stunden konstant…
Also scan vom Datenstream durch den (Linux-)server?
Ich weiss nicht, was Du damit genau meinst.
Die Idee ist, die dahinter geschalteten (Windows-) PCs so zu schützen, dass ich dort kein AntiVirus benötige. Zumindest kein teures VirusShield… Also auch beim ftp oder surfen
Dein eigenes gateway ist nur ein weiterer hop zu Deinen
Kommunikationspartnern.
Klar, nur wenn ich mir so die FAQ von WinGate oder FreeProxy ankuck, dann werden (zu mindest auf WindowsProxys) dort interne Rechner nicht einfach zu einem weiteren hop…
Falls HTTP ueber einen Linux-proxy laeuft gibt es mit manchen
webservern Probleme, die sich einbilden, ihre Inhalte nicht an
Linux-Rechner rauszugeben. Das Windows-update ist so eine
abartige Einrichtung. Kann man aber auch abstellen.
Eins der beschriebenen Probleme… Scheint also nicht nur unter Linux Probleme zu bereiten…
Naja, gebs ja zu Linux kenn ich (noch) nicht so gut
Versuch’s einfach mal, ist sehr spannend.
Werd demnächst die Debian erhalten ))
Naja, dachte eher an WinGate…
Das kenn ich nicht. Aber wenn ich Geblubber wie „WinGate Proxy Server takes the angst out of getting your network connected to the Internet, […]“ auf ihrer homepage lese komme ich ziemlich schnell zu meinem Vorurteil. Ansonsten faellt mir fuer ~95% der dort zwischen den Worthuelsen aufgefuehrten features sofort eine kostenlose Loesung fuer Linux ein, viele davon sind schon elementare Bestandteile des Betriebssystems.
Ungewohnt fuer Dich duerfte werden, dass es all das nicht in einem Klops (wie WinGate) gibt. Der Unix-way ist mehr, viele kleine tools, die alle hochspezialisiert auf ihrem Gebiet sind, miteinander zu kombinieren.
Bei ausgehenden Verbindungen, also was ich von meinem Rechner
im Internet tu hat keinen Einfluss auf diese. Versuche ich nun
von ausserhalb auf diese IP zuzugreifen, also wenn ich zB einen
FTP server zuhaus installiert hab… Dann klappt das auch alles
wunderbar. NUR nach spätestens 5min flieg ich raus, […]
Naja, ueberlegen wir mal weiter: Du hast irgendeinen TCP-Dienst am externen interface laufen (sei’s absichtlich oder aus Versehen). Ausserdem bist Du auf kontinuierliche TCP-sessions angewiesen: fuer radio streams, VPNs via TCP, remote shells, laenger downloads… Ein Spitzbube macht sich jetzt einen Heidespass daraus, gelegentlich zum Dienst am externen if eine Verbindung aufzumachen. Dein provider wechselt Deine IP# und Dir brechen ploetzlich alle sessions oben weg. Automatisiert kann Dich das ziemlich effektiv am Arbeiten hindern. Ich glaube, ich wuerde dem provider was an den Hals machen. Nur so, zum Nachdenken…
Die Idee ist, die dahinter geschalteten (Windows-) PCs so zu
schützen, dass ich dort kein AntiVirus benötige. Zumindest
kein teures VirusShield… Also auch beim ftp oder surfen
Das wird, unabhaengig vom OS, eher leidlich funktionieren. Virenscanner koennen nur sinnvoll arbeiten, wenn sie die Datei zumindest einmal vollstaendig gesehen haben. Mailservers koennen Anhaenge vollstaendig kontrollieren, bevor sie sie an den Nutzer weiterreichen. Ein proxy hat die Datei auch vollstaendig, allerdings hat er zu diesem Zeitpunkt den Schaedling auch schon ausgeliefert. Ich wuesste nicht, wie sowas zuverlaessig funktionieren sollte. (YMMV)
Klar, nur wenn ich mir so die FAQ von WinGate oder FreeProxy
ankuck, dann werden (zu mindest auf WindowsProxys) dort
interne Rechner nicht einfach zu einem weiteren hop…
Ein proxy ist etwas anderes als ein router (gateway).
Werd demnächst die Debian erhalten
Have a lot of fun,
Gruss vom Frank.