Allzweckserver für Fachschaft

pchris

pchris

Well-Known Member
Servus!

Ich möchte einen neuen Server für unsere Fachschaft (Studienvertretung) aufsetzen. Dazu habe ich einige Fragen:

Der Server wird in zwei Netzen hängen. Einerseits im Uni-Netz, wo er auf mehreren (zwei oder drei) öffentlichn IPs hören soll. Andererseits im lokalen Büro-Netz der Fachschaft. Nach Außen soll er einen HTTP-Service, einen FTP-Zugang (für den Scanner) und einen VPN-Zugang bieten. Nach Innen ist zusätzlich noch SMB gefragt.

Eingebaut sind vier Festplatte zu je 1 TB. In einem anderen Thread las ich, dass UFS und ZFS nicht gemischt werden sollen. Ist es also ratsam alle vier Platten in einen ZFS-Pool zu geben und dort auch gleich das Betriebssystem zu installieren?

Die einzelnen Dienste möchte ich mit jails trennen. Also, dass zum Beispiel Samba in einer Jail läuft und nur auf einer internen IP-Adresse lauscht. Der Apache dagegen soll, ebenfalls in einer eigenen Jail, sowohl Intern als auch Extern ansprechbar sein. Ist das so möglich?
Und eventuell auch, dass zwei getrennte Apache-Jails auf verschiedenen Externen IP-Adressen lauschen?

Zugang in das interne Netz soll über VPN möglich sein. Kann man den auch in eine jail packen und das routing entsprechend einrichten?
Vom internen Netz soll der Datenverkehr ins Internet (Gateway) ebenfalls über diesen Rechner laufen.

Sind die vielen Jails, die ich mir da vorstelle, überdimensioniert? Funktioniert das eh so oder soll ich eher weniger/gar keine Jails verwenden?

Das waren einmal die Fragen, die mir so im Kopf herum geschwirrt sind.
 
du sagtest "zwei netze"
heisst das auch "zwei netzwerkkarten"?

auch wenn ich weder ein server- noch ein jails-experte bin, habe ich bis jetzt nichts gesehen was sich nicht auch mit den port-regeln einer "normalen" firewall erschlagen laesst:
http wird nach aussen geroutet, die anderen dienste nur nach innen.
 
pchris schrieb:
Eingebaut sind vier Festplatte zu je 1 TB. In einem anderen Thread las ich, dass UFS und ZFS nicht gemischt werden sollen. Ist es also ratsam alle vier Platten in einen ZFS-Pool zu geben und dort auch gleich das Betriebssystem zu installieren?
Zum Vergrößern anklicken....
Ja, das stimmt so. UFS und ZFS nutzen vereinfacht gesagt verschiedene Cache-Systeme im Kernel, haben daher eine gewisse Neigung sich in die Haare zu bekommen. Das wäre durch eine Portierung von ZFS auf FreeBSDs eigene Cachemechanismen lösbar, aber wird wohl so schnell nicht passieren. Es würde die Portierung neuer Versionen um ein Vielfaches komplizierter machen, bei zugleich eher geringen Vorteilen. Also tue dir selbst den Gefallen und baue ein reines ZFS-System. Allerdings kann dies natürlich aus mehreren Pool bestehen. Ich würde zwei empfehlen: Einen für das System und einen für die Daten.

pchris schrieb:
Die einzelnen Dienste möchte ich mit jails trennen. Also, dass zum Beispiel Samba in einer Jail läuft und nur auf einer internen IP-Adresse lauscht. Der Apache dagegen soll, ebenfalls in einer eigenen Jail, sowohl Intern als auch Extern ansprechbar sein. Ist das so möglich?
Und eventuell auch, dass zwei getrennte Apache-Jails auf verschiedenen Externen IP-Adressen lauschen?
Zum Vergrößern anklicken....
Ja, das geht alles so. Aber ich würde da eher dettus weg nehmen. Du legst die Jails auf "interne" Adressen, welche nur vom Host aus sichtbar sind. Zum Beispiel 10.0.0.0/8 als Subnetz. Anschließend wird auf dem Host ein NAT eingerichtet, welches die entsprechenden Ports der Dienste in den Jails auf verschiedene öffentliche Adressen mappt. Das klingt nun vielleicht erst einmal recht kompliziert und unnütz, hat aber den Vorteil, dass Jails und Außenwelt komplett getrennt sind. Es erleichtert die Administration ungemein, da Jails einafch ohne nennenswerte Downtime ausgetauscht werden können. Zudem ist das Einfügen neuer Jails und das Experimentieren mit Anwendungen in nur lokal erreichbaren Jails einfacher.

pchris schrieb:
Zugang in das interne Netz soll über VPN möglich sein. Kann man den auch in eine jail packen und das routing entsprechend einrichten?
Zum Vergrößern anklicken....
Jein. Theoretisch geht's schon, praktisch haben Jails aber (ohne dem noch höchst experimentellen vnet) keinen eigenen Netzwerkstack. Das bedingt, dass du keine Routen in Jails setzen kannst (wohl aber vom Host aus jedem Jail eine eigene Routingtabelle zuweisen) und auch keine tun- und tap-Interfaces zur Verfügung hast. Das verhindert die meisten VPN-Lösungen.

pchris schrieb:
Sind die vielen Jails, die ich mir da vorstelle, überdimensioniert? Funktioniert das eh so oder soll ich eher weniger/gar keine Jails verwenden?
Zum Vergrößern anklicken....
Nun da Jails in dem Sinne kostenlos sind als das sie keinen Overhead haben, würde ich immer Jails benutzen. Und zwar so viele, wie ich brauche :)
 
Yamagi schrieb:
Jein. Theoretisch geht's schon, praktisch haben Jails aber (ohne dem noch höchst experimentellen vnet) keinen eigenen Netzwerkstack. Das bedingt, dass du keine Routen in Jails setzen kannst (wohl aber vom Host aus jedem Jail eine eigene Routingtabelle zuweisen) und auch keine tun- und tap-Interfaces zur Verfügung hast. Das verhindert die meisten VPN-Lösungen.
Zum Vergrößern anklicken....

Hi,

was man aber machen kann ist dem Jail die IP vom VPN Tunnel zu geben. Ich hab beim mir ein Jail was auf einer Adresse von einem tap Interface läuft und auf einer IP von einen Internen netz. Das läuft prima.

Gruß
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben