DynDNS und Webserver (XAMPP von apachefriends.org)

visionmaster

Grünschnabel
Hallo zusammen,

Ich habe mir einige Threads und Links zum Thema durchgelesen, trotzdem habe ich zum Thema "Webserver im Internet zugänglich machen" einige Fragen.

Folgendes Szenario:

1. Rechner mit Red Hat Linux und XAMPP(http://www.apachefriends.org) der als interner Webserver dient. (Entwicklungsplattform)
2. Rechner mit Suse Linux, der als DSL-Router und Firewall dient.
3. Dann natürlich irgendein Client der aus dem Internet auf den Webserver zugreifen können soll. D.h. Seiten aufrufen und SFTP um Dateien hochzuladen. Ich möchte das mein Webserver von außen erreichbar ist (natürlich nur für bestimmte Personen).

=> Ich habe mich bei dyndns.org angemeldet, damit die aktuelle IP-Adresse des DSL-Routers an den Dienst gemeldet werden kann. Der Dienst verknüpft ja dann die IP-Adresse mit der festgelegten URL.

Da nach einer neuen DSL-Einwahl eine neue IP-Adresse zugeordnet wird, muss mein DSL-Router ein Client laufen haben welcher DynDNS die neue IP meldet. D.h. die dynamische IP-Adresse die bei jeder Router-Einwahl gemeldet wird, wird in eine für mich reservierte Domain wie meine_page.dyndns.org umgewandelt. Ich denke das habe ich verstanden.

Als Client kann ich z.B. http://linux.cudeso.be/linuxdoc/ddclient.php auf mein DSL-Router installieren und einrichten. Dieser startet bei jeder IP-Änderung automatisch und schickt meine neue IP an DynDNS.

Fragen:
----------
1. Da mein Websever hinter dem Linux-Router/Firewall liegt muss ich doch das sogenannte Port-Forwarding aktivieren. Wie geht das und was passiert da eigentlich? Irgendein Client da draußen ruft meine_page.dyndns.org auf. Der Router leitet die Anfrage über einen bestimmten Port an meinem Webserver weiter. Muss der DSL-Server eigentlich nach diversen Einstellungen hierzu neu gestartet werden?

2.
Kommandozeile Linux-Router:
>adsl-status

ppp0 Link encap:point-Point Protocol
inet addr:10.144.153.104 P-t-P:10.144.153.51 Mask:255.255.255.0 ...

=> Was stellt inet addr da und was stellt P-t-P dar? Das eine ist die IP-Nummer des Rechners und die andere die vom DSL-Provider zugeordnete IP-Adresse. Was ist was?

3. Ich verstehe gerade nicht was ich wo, wie und welcher Reihenfolge machen muss. Also was muss ich auf dem DSL-Router machen, was muss ich auf mein XAMPP Server machen? Ich habe kein Tutorial oder Anleitung gefunden wo das Step-by-Step erklärt wird (für Linux-Newbies). Links die ich gefunden habe:
http://www.linux-magazin.de/Artikel/ausgabe/2001/05/dyndns/dyndns.html

Ich will ja auch nicht den laufenden DSL-Router mit meiner Nichtwissen kaputt machen und hoffe auf hilfreiche Tips von Linux-Profis. Am besten eine Dummy Step-by-Step Anleitung.

Besten Dank!
 
Warum lässt du denn den Webserver nicht generell mit auf dem Router laufen? Öffentliche Dienste im lokalen Netz sind grundsätzlich ein Sicherheitsrisiko das man vermeiden sollte (Stichwort: DMZ)
Zum Port-Forwarding:
Dein Router wartet auf dem angegeben Port (80) auf eine Anfrage und leitet diese dann durch die Firewall auf den Rechner in deinem LAN, also deinen Webserver.
Das richtest du meist bei den Firewallregeln mit ein, da diese ja sowas überwacht.
Eine Step by Step anleitung zum Thema Port-Forwarding unter SuSE solltest du finden können :google:

Wenn du das Portforwarding eingestellt hast sollte ein reload der Firewall bzw. des Dienstes reichen.

Das mit den IP-Adressen hast du schon ganze richtig erkannt, das eine ist deine, die andere ist die der "Gegenstelle" beim Provider.

Aber wie gesagt, ich persönlich würde kein Portforwarding zu einem Webserver in meinen LAN erlauben.

Greetz...
Sinac
 
Zuletzt bearbeitet:
Sinac hat gesagt.:
Warum lässt du denn den Webserver nicht generell mit auf dem Router laufen? Öffentliche Dienste im lokalen Netz sind grundsätzlich ein Sicherheitsrisiko das man vermeiden sollte (Stichwort: DMZ)

Hmm, das geht nicht. Der eine Rechner ist der Router/Firewall, der andere ist mein Webserver. Inwiefern Sicherheitsrisiko, weil ich dann durch das Portforwarding quasi nicht nur auf dem Webserver Zugang habe, sondern mit verschiedenen Mitteln/Möglichkeiten auch auf andere Rechner im Netzwerk? Wie sehen diese Möglichkeiten aus?

Danke.
 
Zuletzt bearbeitet:
Warum sollte das nicht gehen? Ich hab hier auch auf meinem Router/Firewall noch nen Web-, SSH-, WAP-, MySQL- und FileServer laufen.
Das sollte man nicht machen weil es nicht besonders klug ist einen Potentziel unsicheren Dienst für ein unsicheres Netz im Intranet zu haben.

Greetz...
Sinac
 
Hi,

also ein Grund warum man eigentlich Serverdienste (http, ftp, usw...) nicht auf der FW laufen lassen sollte, ist einfach die Sicherheit.

Wenn du auf deiner FW Dienste laufen lässt die ein potenzielle Angriffsfläche bietet und jemand z.B. eine Schwachstelle im http-Sever nutzt um root zu werden, kann er auch deine FW umkonfigurieren und dann in deinem ganzen Netz dahinter Blödsinn machen.

Knackt jemand meinen http-Server der in einer DMZ steht, kommt er nicht weit.
 
Zurück