magheinz 99 Posted March 26 Report Share Posted March 26 vor 1 Minute schrieb NorbertFe: Naja. Pauschalurteile sind halt immer irgendwie "doof" ;) ich finde ICH nicht pauschal. andere können das ja anders machen. Bei mir stehen in der DMZ grundsätzliche keine Windowsserver, sondern maximal Loadbalancer/Reverseproxys die dann verbinden. In anderen Umgebungen mag es sinnvolle andere Lösungen geben. Quote Link to post
cj_berlin 76 Posted March 26 Report Share Posted March 26 ...und ein Loadbalancer macht das automatisch sicherer? Von den 50% der Unix-Linux-Webserver weltweit, die von HeartBleed betroffen waren, werden die meisten hinter Loadbalancern gestanden haben... Quote Link to post
NorbertFe 794 Posted March 26 Report Share Posted March 26 vor einer Stunde schrieb magheinz: Bei mir stehen in der DMZ grundsätzliche keine Windowsserver Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;) 1 1 Quote Link to post
BOfH_666 215 Posted March 26 Report Share Posted March 26 (edited) vor 2 Stunden schrieb NorbertFe: Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;) <scnr> ... so wie "mañana" nicht "morgen" heißt - es heißt "nicht heute" ... ? </scnr> Edited March 26 by BOfH_666 1 1 Quote Link to post
magheinz 99 Posted March 26 Report Share Posted March 26 vor 2 Stunden schrieb NorbertFe: Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;) Für die Juristen bedeutet es: Die Regel ist so, aber es gibt Ausnahmen. Es ist also eine Abschwächung der Aussage. Ich wollte ja keine Pauschalaussage treffen vor 3 Stunden schrieb cj_berlin: ...und ein Loadbalancer macht das automatisch sicherer? Von den 50% der Unix-Linux-Webserver weltweit, die von HeartBleed betroffen waren, werden die meisten hinter Loadbalancern gestanden haben... natürlich nicht. Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins. Außerdem kann ich am vorgelagerten LB/reverseproxy bei vielen Protokollen noch eine extra Authentifizierung einbauen Also: automatisch macht es nichts sicherer, aber es bringt zahlreiche Möglichkeiten, das ganze System sicherer zu machen. Quote Link to post
mwiederkehr 117 Posted March 26 Report Share Posted March 26 vor 54 Minuten schrieb magheinz: Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins. Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.) 1 Quote Link to post
Dukel 350 Posted March 26 Report Share Posted March 26 vor 38 Minuten schrieb mwiederkehr: Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.) Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten. Quote Link to post
magheinz 99 Posted March 26 Report Share Posted March 26 vor 11 Minuten schrieb Dukel: Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten. Sonst wäre es ja ein reiner Loadbalancer... Aber ja, mit einem reverseproxy kannst du natürlich alle Zugriffe Steuern, verändern etc. z.B. terminieren die SSL-Verbindungen bei uns am Ha-proxy. Von dort werden nur ganz bestimmte Verbindungen weitergereicht. Allerdings wird Exchange demnächst hinter die netscaler wandern und alle https-Verbindungen werden, soweit möglich, mit einem zweiten Faktor abgesichert. vor 6 Stunden schrieb NorbertFe: Rein interessehalber: Warum? Weil ha-proxy genau dafür da ist. nginx ist in erster Linie ein Webserver. Quote Link to post
Dukel 350 Posted March 26 Report Share Posted March 26 vor 13 Minuten schrieb magheinz: Sonst wäre es ja ein reiner Loadbalancer... Was ist ein "Reiner" Loadbancer? Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...). Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer? Quote Link to post
magheinz 99 Posted March 26 Report Share Posted March 26 vor 4 Minuten schrieb Dukel: Was ist ein "Reiner" Loadbancer? Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...). Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer? The basic definitions are simple: A reverse proxy accepts a request from a client, forwards it to a server that can fulfill it, and returns the server’s response to the client. A load balancer distributes incoming client requests among a group of servers, in each case returning the response from the selected server to the appropriate client. hab ich bei nginx geklaut: https://www.nginx.com/resources/glossary/reverse-proxy-vs-load-balancer/ nginx kann halt noch viel mehr. Wer viel mehr kann macht auch viel mehr Fehler. Quote Link to post
Alman2 0 Posted March 26 Author Report Share Posted March 26 (edited) Hallo nochmal, mit dem Kemp hatte ich bereits Probleme das ganze zum laufen zu bekommen. Nebenbei habe ich das Ganze noch über den NGINX Proxy Manager versucht. Ich habe am Ende drei Seiten die ich erreichen will: 1) Mein RDP-Gateway / bzw https://subdomain/rdweb 2) Meine QNAP 3) Meinen Exchange Ich habe also jetzt folgendes gemacht: Die Ports für HTTP & HTTPS für den NGINX Proxy Manager freigeben. Für das RDP-Gateway habe ich eine Subdomain erstellt "TS01.domäneXY.de Für meine QNAP habe ich eine Subdomain erstellt "QNAP.domäneXY.de Damit wollte ich jetzt erstmal testen. Allerdings bekomme ich die beiden Seiten von außen nicht aufgerufen... Habt ihr noch irgendeine Idee was ich vielleicht falsch mache ? Wenn ich die HTTPS Freigaben direkt auf das GW oder die QNAP lege, erreiche alles von außen... So sieht meine Konfig aus: Edited March 26 by Alman2 Update Quote Link to post
Dukel 350 Posted March 26 Report Share Posted March 26 (edited) Man erkennt nicht viel an der Config. Entweder die externen Namen auf die jeweiligen Servern zeigen lassen oder die Url Teile (/rdweb zum RDS Host, /owa&/ecp&... zum Exchange, /qnap zur Storage) auf die jeweiligen Server. Für erstes muss DNS passen. EDIT: So in der Art: location /mapi { proxy_pass https://exchange01; } location /owa { proxy_pass https://exchange01; } location /rdweb { proxy_pass https://rds01; } Edited March 26 by Dukel Quote Link to post
Alman2 0 Posted March 26 Author Report Share Posted March 26 vor 9 Minuten schrieb Dukel: Man erkennt nicht viel an der Config. Naja, da gibt es auch nicht soviel zu sehen: Also bei Forward Hostname kann ich schon mal keine komplette URL angeben. Das sieht dann hinterher so aus: https://qnap.domäneXY.de:8081/cgi-bin/:80 Dass das nirgendwo hin führt ist ja klar. Ich kenne mich mit Linux auch nicht so gut aus, daher fand ich diesen Proxy-Manager mit GUI ganz cool, allerdings weiß ich nicht wie ich Deinen Vorschlag mit der config umsetzen kann. Mit den Custom Locations habe ich auch schon versucht zu spielen aber das klappt leider auch nicht. Wie müsste ich vorgehen um das im DNS zu erledigen ? Wobei ich hier das Problem habe, dass die QNAP nicht Mitglied der Domäne ist. Den Exchange habe ich noch gar nicht hinzugefügt, dass wollte ich erst machen wenn die anderen beiden klappen. Hab das Gefühl das ich knapp dran bin aber noch irgendeine Kleinigkeit fehlt... Quote Link to post
Dukel 350 Posted March 26 Report Share Posted March 26 Zeigen die Urls alle auf den R-Proxy? Gibt es Logs? Gehen die Adressen intern? http://1*****:80 ? Quote Link to post
Alman2 0 Posted March 26 Author Report Share Posted March 26 (edited) Ja die URL's zeigen alle auf den R-Proxy. Wenn ich an der Destination URL rumspiele bekomme ich auch unterschiedliche Ergebnisse von außen. Und wenn ich einen Host auf Disable stelle, erreiche auch nichts mehr, also müsste die Kommunikation mit dem R-Proxy funktionieren. Und die Seiten lassen sich intern so öffnen [edit] wie gesagt, nehme ich dem R-Proxy die Freigaben für HTTP & HTTPS weg und gebe sie zb direkt der QNAP oder dem RDG, komme ich von außen auch genau mit den URL's drauf die ich hier auch benutze. Irgendwas stimmt nicht mit der Weiterleitung vom R-Proxy zu den Websites... [edit2] sry ist schon spät... Logs gibt es in dem GUI auf jeden Fall nicht Edited March 27 by Alman2 Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.