Internet und Netzwerk Einstellungen separieren?

[Jens_Now]

Hallo zusammen, ich bin der Neue.

Meine Frage bezieht sich auf die beiden LAN Schnittstellen.

Nas: DS220+
Router: Centro Business 2 xDSL
Feste externe IP

Gibt es die Möglichkeit die externe Feste IP (ISP) über zB. LAN1 auf den Webserver zu routen und über LAN2 nur auf das lokale Netzwerk? Also das beide LAN nichts miteinander zutun haben?

Der Gedanke ist, das der Webserver in einer Art Sandbox ohne Zugriff auf das lokale Netzwerk läuft, und trotzdem immer noch über das Internet auf den Netzwerk Storage zuzugreifen ist.

Verkabelung:

Nas Lan1 -> LAN 1 am Centro Business mit DMZ (Durchleitung?)
Nas Lan2 -> Lan2 lokales Netzwerk Centro Business
Centro Business -> Internet

Ist dieses Setup möglich und ein praktikabler Workflow, oder sollte ich besser umdenken und mir eine 2te NAS kaufen? Vielen Dank schon mal für Eure antworten.

 

[synfor]

Der Webserver läuft dann nach wie vor auf der Hardware, welche Zugriff ins lokale Netz hat.

 

[Ulfhednir]

Wäre dann ein Thema der Firewall. In der Theorie kann man auch bei der Syno verschiedene Regelwerke für die Ports hinterlegen.
Einfaches Beispiel: LAN1 Port 80 TCP offen, LAN2 Port 80 TCP geschlossen.
Besser wäre es natürlich, wenn man das auf einer "echten" Firewall einstellt.

 

[sky63]

Ich weiss nicht was der Router hergibt aber grundsätzlich kann das schon gehen, im Zweifel mit Hilfe von VLANs. Das geht sogR mit einer NIC. Das zweite VLAN muss dann allerdings auf der Console eingerichtet werden.

Gruß,
Sky

 

[synfor]

In der Theorie kann man auch bei der Syno verschiedene Regelwerke für die Ports hinterlegen.
Einfaches Beispiel: LAN1 Port 80 TCP offen, LAN2 Port 80 TCP geschlossen.

Was spricht dagegen, den Webserver nur an LAN1 zu binden? Dann muss man den Port an LAN2 nicht per Firewall schließen.

 

[Ulfhednir]

@synfor theoretisch nichts, wenn es denn technisch funktionieren sollte. Mir fehlt an der Stelle allerdings die kreative Idee, wie du das Binding gestalten möchtest - abgesehen über die Firewall. Also lass mich an deinem Wissen teilhaben.

 

[synfor]

Na wie wohl, über die Konfiguration des jeweiligen Servers. Natürlich muss der das auch unterstützen. Bei Synology muss man da wohl die Konsole bemühen und die Konfig-Dateien direkt editieren.

 

[Ulfhednir]

Also ich hätte jetzt eigentlich eine etwas konkretere Aussage erhofft.
Wahrscheinlich meinst du folgendes:

https://httpd.apache.org/docs/2.2/bind.html
http://nginx.org/en/docs/http/request_processing.html

Hatte ich noch nicht auf dem Schirm, dass sich hier ebenfalls das listen für die IP einstellen lässt. Wobei ich dann meine Antwort relativieren muss.
Was spricht dagegen? Dass man am offenen Herzen operiert und mögliche Änderungen vornimmt, welche das nächste Paketupdate NICHT überleben.

Der Gedanke ist, das der Webserver in einer Art Sandbox ohne Zugriff auf das lokale Netzwerk läuft, und trotzdem immer noch über das Internet auf den Netzwerk Storage zuzugreifen ist.

Die große Frage für mich ist ja auch: Welchen Angriffsvektor willst du eigentlich vermeiden? Wenn man den Webserver knackt und die Rechte ausweitet, komme ich ja 1.) trotzdem an die Daten vom NAS, 2.) kann ich mich trotzdem in andere Netzwerke weiterhangeln, insofern die Firewall das nicht reguliert. Wenn du eine "Sandbox" haben möchtest, kannst du auch einfach auf einen Docker-Container zurückgreifen. Damit hast du dann zumindest ein isoliert(er)es System.

 

[Jens_Now]

Ich danke euch für eure Antworten. Ich habe das ganze jetzt erstmal so aufgesetzt wie Synology es empfiehlt und lese mich mit klarem Kopf in die Materie ein. Ggf, komme ich doch im die Anschaffungen eines Servers nicht herum. Die Zeit wird es zeigen. Danke euch noch mal!

 

[Ulfhednir]

Wenn du "nur" eine Webseite hosten möchtest, gibt es von meiner Warte die klare Empfehlung: Miete dir einen Webserver.
Ich bin seit Jahren zufriedener Netcup-Kunde; das Forum läuft auch auf Netcup.

 

[Jens_Now]

Ich habe lange Hostingpackete gehabt und diese vor kurzem alle gekündigt. Ich möchte hier eh über Kurz oder Lang alles im Haus haben. Ich betreibe ein kleines Tonstudio und habe den Vorteil das ich öffentliche IPs habe (Kundenserver, CoWorking, Sharing).
Demnach möchte ich natürlich auch alles bei mir hosten. Es geht unter anderem auch um den Verkauf von Musik, welcher auch über die interne Infrastrucktur laufen soll. Ein riesen Projekt.

 

[Ulfhednir]

Ich kann es ja zum Teil nachvollziehen, wenn man das Ganze selbst hosten möchte. Es gibt aber ausreichend viele Gründe die dagegen sprechen.
Fängt beim Thema Datensicherheit (Szenario wurde oben beschrieben), Hochverfügbarkeit (wenn dein NAS nicht mehr online ist, ist deine Seite ebenfalls offline, betrifft auch deinen Mailserver, den du aktuell einrichten möchtest), Performance (SEO relevant!) und dem Betreiben des (Web)servers mit den richtigen Parametern. (Web Station ist abgespeckt -> Folgeprobleme).
Also abgesehen davon, dass du mit deinem derzeitigem Wissen mit deinen Daten und den Kundendaten Lotto spielst, bringst du möglicherweise auch noch dein Auflistung bei den Suchmaschinen (Google & Konsorten) in Gefahr.

Alles gute Gründe, warum ICH meine Webseite im kommerziellen Umfeld eher auf einer professionellen Plattform betreiben wollen würde.
Letztendlich kannst du ja machen was du willst. Ich empfehle trotzdem nochmals die kritische Reflexion zu diesem Thema.