Einer für alles - oder kollektiv verteilen?

[EtaCarinae]

Hi!
Ich bin im Moment ein wenig am Überlegen wie ich meine Hardware am besten und sinnvollsten einsetze.

Ich habe einen DSL-Anschluss und mein Provider versorgt mich mit einer festen IP-Adresse. Bei mir im Keller werkelt im Moment ein kleiner Server (AMD Athon 1300+ - natürlich mit Gentoo). Der Server dient zur Zeit als Mailserver, Webserver, SQL-Server, Fileserver und Proxyserver. Da ich ja glücklicherweise eine feste IP habe, läuft meine Internetdomain und die Mailadressen direkt hier bei mir auf.
Vor dem Server werkelt im Moment ein D-Link DI-604 DSL-Router. Ja, ich weiß das Ding ist echt grottig - ist mir auch schon 3 mal gestorben im letzten Jahr. Jedenfalls stellt der DI-604 die DSL-Verbindung her und arbeitet als Firewall.

Nun ist es so, dass ich hier noch 2 kleine Rechner stehen habe (Intel Celeron 533) die ich vielleicht irgendwie einsetzen möchte. Wäre es sinnvoll die ganzen Dienste auf die kleinen Rechner zu verteilen?
Ich hatte mir das so vorstestellt das der DI-604 rausfliegt und stattdessen ein Rechner die DSL-Verbindung herstellt und als Firewall, Proxy, Webserver und Mailserver dient. Der andere Celeron könnte dann der Fileserver und vielleicht SQL-Server werden.

Schick wäre es auch wenn ein Rechner per ISDN-Karte als Faxserver und Anrufbeantworter werkeln könnte. Oder vielleicht sogar ne kleine Asterisk-Installation drauf? Auf welchem der beiden Rechner wäre das sinnvoll?
Den AMD Rechner würde ich mir dann als zweite Linux-Workstation fertigmachen.

Ist das sinnvoll oder fahre ich vielleicht doch besser damit wenn ich ein PC für alles habe und den D-Link Router weiterbenutze (oder einfach nen anderen Hardwarerouter anschaffe)? Ich möchte unter anderem auch sicherstellen, dass die Daten auf den internen Rechnern vorm "bösen" Internet geschützt sind.
Welche Vorteile oder Nachteile hat die eine oder die andere Variante? Würde für sowas ein Celeron 533 ausreichen oder wäre der überlastet? Ich meine der jetzige Athlon 1300+ langweilt sich fast 24 Stunden am Tag habe ich den Eindruck... Alternativ hätte ich sonst hier auch noch ein Athlon 750 rumstehen...

Vielen lieben Dank schonmal für Eure Tipps und Anregungen!!
Alex

[Deever]

Grundsätzlich würde ich darauf verzichten, auf einem Firewallrechner noch weitere Dienste laufen zu lassen. Erst recht, wenn dir eh mehrere Kisten zur Verfügung stehen.
Mit der Verteilung mußt du selber wissen. Da du keine näheren Angaben dazu gemacht hast, was genau die einzelnen Dienste leisten/anbieten müssen. läßt sich auf deine Frage auch keine richtige Anwort geben. Allerdings scheint es in deinem Fall mehr oder weniger egal zu sein, wie du verteilst.

Gruß,
/dev

[EtaCarinae]

Also was ich hier an Diensten brauche sind die folgenden:

* Mail: smtp, pop3, imap. Die Dienste müssen auch aus dem Internet zu erreichen sein.
* Apache: Da liegen im Moment 4 kleine Webseiten drauf. Muss logischerweise auch vom Internet aus erreichbar sein.
* SQL: ein MySQL Server halt
* Fileserver: um Musik und alles andere möglich zentral zu speichern. Zusätzlich eine extra Festplatte die als Videoplatte per nfs an meinen Wohnzimmer-VDR exportiert wird.
* FTP: Einen kleinen FTP-Server um mal schnell Daten mit anderen auszutauschen. Soll auch aus dem Internet erreichbar sein.
* Proxy: Dadrüber sollen alle Rechner (4 Stück) hier im internen Netz ins Internet gehen.

Jo, das wären so die Dienste die ich auf jeden Fall bräuchte.
Ist es denn sinnvoll nen Firewallrechner zu machen oder langt da auch der D-Link aus?

[ChrisM87]

Hi,

ich würde unbedingt einen Linuxrechner als Firewall einsetzen, evtl. auch mit IPCop (super Linuxdistri für Router). Bei einem Cisco-Router könnte man evtl. beim Hardwarerouter bleiben, aber mein D-Link früher ist schon bei geringer Belastung (ca. 200 Verbindungen) zusammengebrochen, weil er einfach nicht für größere Netzwerke oder größere Last (z.B. eMule) ausgelegt ist.

Auf einer Firewall solltest du aber keine weiteren Dienste laufen lassen, zumindest keine, die ans Internet angeboten werden, Mail usw. also lieber auf extra Rechner.

ChrisM
_________________
born to be root - sorry for my bad English!

[EtaCarinae]

Hab mir grad mal IPCop angesehen. Das scheint ja echt ne super Sache zu sein. Hab mir das iso gezogen und werd das gleichmal testweise installieren.

Also du meinst dass so ein Firewallrechner besser ist als mein guter alter D-Link? Ich meine sooo viel Datenverkehr hab ich nicht - jedenfalls bis jetzt noch nicht.

Ok, also 1 Rechner mit IPCop, und auf den anderen dann alles andere? Dann hab ich ja im Endeffekt wieder ein Rechner für alles. Ist das sinnvoll?

[Deever]

Für das, das du beschrieben hast, benötigst du keine zwei Rechner.

Gruß,
/dev

[think4urs11]

[the-pugnacity]

man kann es natürlich auch übertreiben, aber für den heimgebrauch sollten max. 2 maschienen mehr als sicher sein. es gibt ja nicht nur anschaffungskosten sondern auch laufende kosten wie strom.

wie paranoid du bist überlass ich dir. aber ssh auf intern finde ich schon ok, zumindest wer in einen haushalt lebt sollte dem anderen schon so weit trauen.
_________________
Gentoo 2.6.12-gentoo // Pentium4 2800 || Aopen XC Cube || TwinMOS 1024 MB PC 3200 || 250GB Hitachi 7k250 || Aopen Aeolus FX5900XT || MX500

[think4urs11]

Ich sagte ja nichts zum Thema Wirtschaftlichkeit

Eine sinnvolle+wirtschaftliche+preiswerte Methode wäre z.B. mit mehreren virtuellen Instanzen auf einer Hardware zu arbeiten.
Eine VM für Firewall, eine für Proxy usw.
Nicht ganz die reine Lehre aber für alles was nicht gerade ein Rüstungsbetrieb ist durchaus darstellbar.

Trotzdem ist jeder laufende Dienst immer auch angreifbar egal ob er nur an ein internes Interface gebunden ist oder nicht. Es ist von daher immer besser einen Dienst erst gar nicht zu starten wenn man ihn nicht zwingend braucht. Und gerade auf einer Firewall sollte man es etwas genauer nehmen das ist ja der Sinn solcher Geräte.
Und wenn sowieso (min.) zwei Kisten dastehen werden warum dann nicht auch den unnötigen an IP gebundenen SSH auf der Firewall weglassen und dafür etwas nehmen das von jemandem der über IP kommen muß nicht direkt angegriffen werden kann wie eben serielle Leitung A<-->B?

Und ja ich bin wirklich paranoid, das war hier Einstellungsvoraussetzung.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[Anarcho]

Aus Strom- und Anschaffungskosten fahre ich die All-in-One lösung mit router/apache/mailserver/... auf einer Maschine. Klar ist das nicht schön und in einer Firma niemals zu gebrauchen, aber da ich nicht über die Finanzen einer Firma verfüge muss man eben das beste draus machen.

Ist übrigens ein Athlon 2000+ mit 1GB RAM und 450GB HDD in nem SilentMaxx Gehäuse und somit auch noch nichtmal zu hören!
_________________
...it's only Rock'n'Roll, but I like it!

[null_]

Ich persönlich fahre ein stark modifiziertes FreeBSD 4.1 (http://www.m0n0.ch/wall/) auf einem AMD Geode Board (http://www.pcengines.ch) als Firewall/Router. Das Ding ist echt der Hammer. Das kann so viel wie der beste Cisco Router, hat ein nettes Webinterface und kostet sehr wenig, auch im Unterhalt (Stromverbrauch max. 5 Watt).

Als Server fahre ich dann einen AMD Duron mit 700 MHz und 640 MByte RAM. Da drauf laufen primär ein Sambaserver, Apache mit mod_php und MySQL. Vorallem als Storage Server hat sich das Ding sehr bewährt. Hat nun eine Uptime von knapp 200 Tagen. Leider ist die Platte voll und eine zweite muss eingebaut werden... Leider nicht hotplug

Ich würde dir auf jeden Fall zur m0n0wall raten (lässt sich auch auf normalem PC betreiben).
_________________
http://www.initng.org/ - next generation init

[EtaCarinae]

Vielen Dank für die super Antworten! Ich glaub ich hab mich jetzt soweit entschieden:

Auf den einen Celeron 533 hab ich IPCop installiert. Das ist dann meine Firewall. Weil mit dem D-Link ist mir das doch ein wenig zu unsicher, bzw. der geht eh dauernd kaputt.
Der zweite Celeron wird mein Fileserver und der AMD 750 macht den Rest (Mail, SQL, Apache,...).

Den AMD 1.3 werde ich mir als 2. Gentoo-Workstation umbauen.

Ich denke so hab ich die Rechner sinnvoll eingesetzt. Mal schauen ob das alles so klappt wie ich mir das vorstelle.
Ich bin mal gespannt ob der Fileserver mit dem Celeron 533 das durchhält. Da würden dann 2x 80GB und 1x 160Gb reinkommen. Die 160GB wird per NFS an meinen VDR exportiert, so dass die Aufnahmen direkt auf dem Fileserver landen. So brauche ich im VDR im Wohnzimmer nur eine kleine Platte (10 GB).

Vielen Dank!!!
Alex

[moe]

Man könnte natürlich auch Virtualisierungen a la user-mode-linux oder xen einsetzen, um mehrere Dienste auf virtuelle Server zu verteilen, macht zwar im privaten Bereich nicht viel Sinn, bzw. ist etwas aufwendiger, aber der Lerneffekt ist höher..

Gruss Maurice