Alforno 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Hallo, ich bastele gerade an einer Testumgebung. Derzeit habe ich einen W2003 Server und 2 XP Clients im Netz. Alle hängen an einem Switch und dieser am Router. Auf dem Server läuft nen mailserver (hmailserver). Angedacht ist dann auch noch ein WSUS. Ich wollte gerne erreichen, dass die Clients sich die Mails vom mailserver holen und mit Windows Updates versorgt werden. Die Clients sollen aber auf keinen Fall die Möglichkeit haben ins Internet zu kommen. Reicht es, wenn ich bei den Clients einfach keinen Gateway eintrage? Ich weiß, eine etwas einfachere Frage würde mich aber trotzdem über eine Antwort freuen. Danke im Voraus. mfg Alforno Zitieren
LukasB 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Reicht es, wenn ich bei den Clients einfach keinen Gateway eintrage? Solange die Leute keine lokalen Adminrechte haben - grundsätzlich ja. Schön ist das aber nicht. Zitieren
Ciscler 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Hallo, klar kannst das Gateway auf den Clients einfach weglassen. Vorraussetzung dein Mail Server und WSUS Server sind im Selben Netz wie die Clients. Gruß Dirk Zitieren
Alforno 10 Geschrieben 2. Juli 2008 Autor Melden Geschrieben 2. Juli 2008 Danke euch für die schnellen Antworten. Ja, alle werden lediglich mit Benutzerrechten ausgestattet. @lukasB Was wäre denn eine schöne Lösung. Ich will ja nur verhindern, dass die User eine Möglcihkeit haben auf das Internet zuzugreifen. Ihre Mails bekommen sie dann vom lokalen Mailserver des Servers. Danke. mfg Alforno Zitieren
Robi-Wan 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Hallo, Du könntest auch per GPO verhindern, dass der IE/Firefox/... ausgeführt wird... Grüße, Robert Zitieren
mseifert1980 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Hallo, Du könntest auch per GPO verhindern, dass der IE/Firefox/... ausgeführt wird... Grüße, Robert Damit würde man aber auch jegliche webbasierte Anwendung verhindern. Über elegante Lösungen lässt sich streiten. Es gibt verschiedene wege das gewünschte Ziel zu realisieren. Man kann z.b: ne Firewall bzw. Router ranhängen, der über Filterfunktionen verfügt. Gibts mittlerweile für 60€. Man Kann das Gateway weglassen usw. Zitieren
IThome 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Ich denke auch, dass die eleganteste Lösung die mit einem entsprechend konfigurierten Gateway ist ... Zitieren
Alforno 10 Geschrieben 2. Juli 2008 Autor Melden Geschrieben 2. Juli 2008 als gateway benutze ich einen draytek 2200x. kennt sich jemand damit aus und kann eventuell beantowrten, ob ich sich dies am Router sperren lässt? Danke im Voraus. mfg Alforno Zitieren
IThome 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Du kannst Firewallregeln auf dem 2200er definieren, die den Zugang nur von der Server IP-Adresse zulassen. Auf dem Server läuft der Mailserver, der sich mit dem Internet verbindet und ebenso kannst Du da den WSUS installieren, so dass kein Client in´s Internet muss (und mit den Regeln auch nicht kann) ... Zitieren
Alforno 10 Geschrieben 2. Juli 2008 Autor Melden Geschrieben 2. Juli 2008 @ithome danke dir für die schnelle antwort. werde ich mir gleich mal angucken. macht es sinn die clients und den server direkt am router zu haben oder sollte man lieber im server 2 nics verbauen. Also [Router----NICA_Server_NICB----Switch----Clients] kann man sowas als sicher bezeichnen? Danke im voraus. mfg Alforno Zitieren
IThome 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Auf jeden Fall sicherer als direkt, wenn der SBS als NAT-Router mit aktivierter Basisfirewall konfiguriert ist. Aber dann musst Du noch ein wenig mehr konfigurieren ... Zitieren
Alforno 10 Geschrieben 2. Juli 2008 Autor Melden Geschrieben 2. Juli 2008 ist dir für dieses szenario nen passendes Tutorial bekannt? Gehen wir mal davon aus, dass ich auf dem Draytek alle Ports schließe(von außen nach innen), soweit ich weiß ist das per default ja bereits der Fall. Dann sollte doch erstmal niemand da durch kommen. Müssen denn für den Mailverkehr Ports(von außen nach innen) geöffnet werden? Eigentlich doch nicht, oder? Ich könnte doch dann sogar den integrierten VPN Dienst von Draytek verwenden. Problematisch sollte es doch erst werden, wenn die Firmware des Draytek Lücken hätte. Oder mache ich hier einen denkfehler? Danke im Voraus. mfg Alforno Zitieren
IThome 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Der Router lässt von innen nach aussen erstmal gar nichts durch, von innen nach aussen aber alles. Du kannst auf einem Draytek sehr umfangreiche Firewallregeln definieren (hier mal ein Link). Vigor Router FAQ Wofür willst Du den VPN-Dienst des Draytek benutzen ? Zitieren
Alforno 10 Geschrieben 2. Juli 2008 Autor Melden Geschrieben 2. Juli 2008 Danke, dir. Ich gehe davon aus, dass du im ersten Satz von außen nach innen meintest, richtig? Eigentlich wollte ich den VPN Zugang für administrative Zwecke nutzen. Mir geht es eigentlich um die Sicherheit des Netzes. Da von außen keine Dienste verfügbar gemacht werden sollen. Werde ich dementsprechend auch keine Ports öffnen müssen. Dies sollte man dann doch als einigermaßen sicher bezeichnen dürfen. Müssen denn für den Mailverkehr Ports von außen nach innen geöffnet werden? danke. mfg Alforno Zitieren
IThome 10 Geschrieben 2. Juli 2008 Melden Geschrieben 2. Juli 2008 Danke, dir.Ich gehe davon aus, dass du im ersten Satz von außen nach innen meintest, richtig? Ähm, ja , klar :D Für administrative Zwecke kannst Du natürlich auch VPN benutzen, was der 2200er ja bietet. Ob Du für den Mailverkehr Ports öffnen musst, kommt darauf an, wie er stattfindet. Rufst Du Mails via POP3 von Deinem Server ab, wird die Verbindung von innen initiiert. Ebenso, wenn der Server eine Mail via SMTP verschickt. Werden Dir die Mails allerdings via SMTP zugestellt (was ich nicht glaube), dann müsstest Du ein Forwarding einrichten ... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.