Sätta upp brandvägg, DNS och webbserver för företag

[chrille]

Idag kör vi våra sajter på en dedicerad server, men nu när vi byter lokal funderar jag på om jag kan ta över driften själva av vår server.

I lokalen kommer det finnas 10/10, 30/30, eller 100/100 Mbit fiber. Sajterna som kommer hostas är inte jättestora, det rör sig om runt 10 000 sidvisningar per dag. Vilken hastighet bör jag välja?

Är detta en lämplig konfiguration? Räcker iptables som brandvägg, eller bör man ha en hårdvarubrandvägg också?

Kod: Markera allt

[Internet]
     |
[Ubuntu Server med Bind DNS-server och iptables brandvägg]
     |
[Switch]
     ______________________________________________________________________________________
     |                                         |                                         |
[Trådlös router ] [Ubuntu Server LAMP samt mailserver] - [Eventuellt ytterligare en LAMP-server]
     |
[Trådlösa klienter]

Mycket tacksam för alla förslag och kommentarer!

[andol]

Om du ändå ska köra en separat dator som brandvägg, vilket är bra, så varför inte göra det lätt för dig och sätta upp en m0n0wall? Förvisso baserat på FreeBSD, men det är verkligen inget negativt i sammanhanget.

Känner du dig mer bekväm med en Ubuntu-server som brandvägg så erbjuder iptables (kärnans netfilter) rent generellt ett nog så kompetent skydd. Vill du inte behöva definera alla regler själv kan det då vara en idé att ta hjälp av till exempel Shorewall.

Vad gäller konfiguration i övrigt så är den säkert funkis. Möjligtvis att man kanske skulle kunna vilja separera det trådlösa nätet från servrarna. En idé skulle till exempel kunna vara att satsa på en switch som hanterar VLAN?

Vad gäller bandbredden så torde väl den lättast lösningen vara att titta på vilken bandbredd den nuvarande servern drar och sen lägga på lite extra för täcka framtida ökningar?

[chrille]

Tack för tipset om m0n0wall. Har läst om det, och det verkar ju vara himla bra. Såg att det finns en "DNS forwarder", är det allt jag behöver i DNS-väg? (verkar grymt smidigt http://www.youtube.com/watch?v=UGGBaXIPWk8).
Webbservrarna bör man ju köra RAID på så att de inte ligger nere om en hårddisk skulle braka ihop. Hur är det med brandväggsdatorn, visst är det bra att göra det även där? Eller blir det lite overkill? Har läst om många som använder gamla "skräpdatorer" som brandvägg/DNS, finns det någon anledning att ha hög prestanda på en sådan dator?

VLAN är jag inte så insatt i, vad jag förstår så delar switchen trafik virtuellt på något sätt? Har du tips på någon sådan switch?

Smart med bandbredden, att man inte tänkt på det

[tpnet]

En annan bra brandvägg är Ipcop, har själv kört den i flera år och är nöjd.
//Tony

[andol]

Hurtillvida "DNS forwarden" (som jag ännu inte tittat närmare) fyller dina DNS-behover beror helt på vilka behov du har. Vad är det du vill åstadkomma i DNS-väg?

RAID:ade hårddiskar låter som en bra idé om du vill öka tillgängligheten på din webbserver. Hårddiskar, särskilt i servrar med konstant belastning, är helt klart förbrukningsvaror. På tal om förrädiska hårddiskar så är det inte dumt att ha smartd (smartmontools) rullande på servern, för att förhoppningsvis kunna få lite förvarning när något börjar gå galet.

Vad gäller brandväggsdatorn finns det alltid alternativt att köra helt utan hårddisk. Du kör direkt ifrån CD-skiva och sparar inställningar på diskett eller flashminne. Detta är förövrigt ett av standardsätten att köra m0n0wall. Prestandamässigt kräver en brandvägg generellt sätt inga större mängder datakraft, givetvis beroende på trafikmängd och antal brandväggsregler.

VLAN handlar om att virtuellt separera nätverkstrafiken som rent fysiskt går på samma kablar. På så vis får man flera virtuella LAN, vilka kan behandlas separat vad gäller routing och brandväggsregler.

[chrille]

tpcop: Tack för tipset, verkar vara ett bra system också!

Vi har cirka 20 olika domäner, och alla dessa måste jag ju lägga upp i DNS-servern så att de pekar till rätt ip-nummer. Dessutom behöver jag sätta upp MX-poster för mailen.

På vår dedicerade server kör vi cPanel, och det är jag himla nöjd med. Det förenklar mycket! Ni som är lite mer "hardcore" tycker kanske det är löjligt?
Fiffigt med att köra på flash-disk till brandväggen. Hur är det med CD-läsares livslängd, den kan man lita på eller?

Meningen med VLAN är alltså att "dela" på nätverket, så om någon skulle bryta sig in i webbservern så kommer man inte också in på det lokala nätverket?
Kan denna vara något att ha? http://www.komplett.se/k/ki.aspx?sku=301667

[johanre]

Ni som är lite mer "hardcore" tycker kanske det är löjligt?

Löjligt - nej, absolut inte; funkar det - använd det!

[chrille]

andol, Jag satte mig ner och skulle räkna på detta med vilken anslutningshastighet vi borde välja. Idag ligger vi på cirka 50 GB per månad i förbrukad bandbredd. Hur går jag vidare?

[andol]

Ahh, det handlar alltså om att du behöver en DNS-lösningar som hanterar era domäner. Nej, då är inte en DNS-forward det du söker. Det den används till är att cacha och snabba upp DNS-förfrågningar ni gör från ert eget nät.

Japp, VLAN används för att dela upp nätverket. Min spontana tanke vad dock snarare att kunna isolera det trådlösa nätet, med lite restriktivare regler kring trafiken till och från Internet. Rent instinktivt litar jag nämligen inte på arbetsstationer där det sitter användare :-)

Har ägnat mig för lite åt switch-inköp för att på rak arm kunna ge någon specifik rekommendation inom området.

Gällande bandbredden behöver du även veta på ett ungefär hur den är fördelad kring dygn, veckodagar, etc. Rör det sig om jämnt fördelar trafik eller är det väldigt toppat?

[andol]

Hmm, kom precis på att jag kanske eventuellt tänkte lite trasigt.

Kommer ni har en public ip-adress utåt och sen NAT:a internt eller kommer ni ha ett ip-nät, alltså ett spann av publika adresser, routade till er?

[chrille]

Ok, då måste jag alltså sätta upp en separat DNS-server (Bind?), och detta kan jag inte göra i m0n0wall? Då är man inne på att sätta upp typ Ubuntu Server med Bind och Shorewall?

Trafiken är skapligt jämn, men något högre på vardagar än helger. Man kan nog räkna att den kan ligga på cirka 2 GB på vardagar. Det finns tider på åren, vår "högsäsong" runt jul kan trafiken dubbleras.
I den anslutningslösning jag har tittat på ingår det en publik IP-adress, så det kommer nog bli att vi kör på den endast.

Tack för all hjälp hittils!

[andol]

Tja, först och främst så tycker jag att du ska glömma det jag sa om VLAN. Åtminstone just för den här implementation :-) Är själv lite insnöad i universitetsvärlden, där det finns gott om ip-nummer och i princip varje dator har ett publikt ip-nummer. Kör du däremot med NAt så erbjuder ju redan det en viss avgränsning. Dessutom så ligger det ju en viss separation i den trådlösa routern. Oroa dig inte över VLAN.

Japp, bind är helt klart standardlösningen för DNS. Däremot finns det ju inget som säger att du behöver köra det på brandväggsdatorn. Varför inte istället på servern som ändå kör LAMP, mail, etc? Överlag vill man ju ändå hålla sin brandvägg så fri från övriga tjänster som möjligt. Hur har du förresten tänkt göra med DNS-slavar? Att tappa webb- och mailåtkomst är förvisso lite småtrist. Att däremot ens DNS helt trillar av pin är däremot helt förbaskat trist.

Vad gäller bandbredd så är ju den triviala lösningen att bara räkna om datamängden från per månad till per sekund. Lättast är förövrigt att köra med en faktor tio mellan byte och bit. Utöver att det blir jämnar siffror så är det inte helt fel med tanke på kontrollbitar, etc. Nu är detta som sagt den triviala lösningen. Det här är som sagt en relativt trivial lösning och din egentliga bandbredd vill helt klart vara högre än snittvärdet du får fram. Utöver att det ska finnas marginaler så vill du förstås även att sidan ska vara så "snabbsurfad" som möjligt, etc. Mer än så här kan jag tyvärr inte ge dig just nu.

EDIT: Fast just i ditt fall torde det inte vara en alltför svår avvägning. 2GB per dag blir ju i snitt lite drygt 0,2Mbit(/s). Torde sålunda räcka gott och väl med 10Mbit per sekund. Modula att ni har Stora filer ni vill att folk ska kunna ladda hem Snabbt.

Här har jag dock en gnagande känsla av att jag på något vis tänkt trasigt. Om så är fallet så hoppas jag verkligen att någon rätta mig.

[chrille]

Min tanke med att köra DNS på en annan dator än webbservern är att det inte är helt omöjligt att jag kommer ställa in en LAMP-server till, och kanske senare även en tredje. Då känns det enkelt att ha DNS-systemet fixat på en separat enhet så att man slipper lägga upp det på varje webbserver. Men du har rätt i att det är rätt dumt att lägga det på brandväggsdatorn. Å andra sidan känns det lite slösaktigt att sätta upp en egen dator som DNS-server. Vad innebär DNS-slavar?

På vårt "webbhotell" vi kör nu har vi en väldigt smidigt webb-interface för DNS-servern som de själva byggt ihop. Vad jag förstått har Loopia något liknande. Känner någon till liknande open source-verktyg?

Om man räknar 2 GB per dag så har man alltså cirka 25 kB trafik per sekund (räknat 2 GB på 12 timmar).
Då borde ju 10/10 Mbit verkligen vara mer än tillräckligt?

[andol]

Att köra DNS på en separat dator är stabilitetsmässigt sunt, då det finns så oerhört mycket färre saker saker som kan gå fel på en enkel DNS-server i jämförelse med en fullständiga applikationserver med LAMP, etc. Dessutom kräver en DNS ingen egentlig datorkraft, så går alldeles utmärkt att köra på en gammal P2:a, givet att den består av någotsånäriga kvalitetskomponenter. Däremot så förstår jag inte vad du menar när du pratar om att ha flera webbservrar och då behöva en DNS på varje sådan?

DNS-slavar är extra DNS-servrar som även de kan svara på uppslagningar för dina domäner. När man pratar om replikation utav uppslagningstjänster (DNS såväl som LDAP, AD, NIS, etc) pratar man ofta om inblandade servrar som -master eller -slave. Det är masterservern som är primärservern, där alla ändringar görs. Dessa ändringar propageras sen ut till slaveservrarna.

Japp, borde helt klart finnas färdiga webb-gui:n för DNS-hantering. Dock inga som jag har tittat på. Där är sålunda din google-fu lika god som fin.

[chrille]

Först och främst måste jag tacka för all hjälp och långa ingående inlägg!! Stort tack!

Då förstår jag hur du menar med DNS-slavar. De är de man fyller i typ NS1.TEST.com, NS2.TEST.com osv?
Jag antar att detta bör vara fysiskt separata datorer så att alltid en av dem fungerar om något skulle hända med den andra?

En "idealisk" setup vore alltså:

[Brandvägg] Enkel äldre dator som kör m0n0wall eller liknande. Körs från CD och lagrar på USB-minne
-----|
[Switch]
-----|
[DNS-server 1] - [DNS-server 2] - [LAMP-server 1] - [LAMP-server 2] - [Trådlös router]

[andol]

Japp, du har förstått helt rätt.

Dock så bör DNS-slaven lämpligen befinna sig på någons annans nät. Rent allmänt är det nämligen en betydligt större risk att du tillfälligt tappar nät än att en dedikerad DNS-server kraschar.

Nu är dock inte så att man nödvändigtvis behöver ställa en fysisk maskin annorstädes. DNS-slav är en typisk tjänst man byter med andra, alternativt köper in någonstans ifrån. Det vill säga att en annan DNS-server någonannanstans agerar DNS-slav åt dina domäner.

[chrille]

Okej, då förstår jag hur det fungerar med DNS-slavar. Används slavarna "i nödfall" om den "riktiga" dns:en inte skulle fungera, eller används den mer regelmässigt? Isåfall kanske man kunde ha en slav stående hemma i huset, och den "riktiga" på jobbet?

[andol]

Utifrån syns det i regel ingen skillnad på DNS-slave och DNS-master. Förfrågan kan alltså komma till vilken som, och svarar inte det första så försöks det mot en annan.

Att ha en DNS-slav hemma skulle i och för sig kunna fungera, men känns ändå inte riktigt rätt. Dessutom är det i princip ett krav att du då sitter på ett fast ip-nummer. Bättre skulle jag då säga att det är att köpa DNS-redundans. Det typen av tjänster torde finnas för ett relativt överkomlig pris. Själv betar jag 50kr / domän och år hos primary.se. Vet dock inte riktigt vilken "nybörjarsupport" de erbjuder.

En annan variant skulle kunna vara att strunta helt i att drifta domänen själv och istället köpa hela tjänsten; komplett med webbgränssnitt och redundans.

[chrille]

Tack för länktipset, ska kika vidare där!