Zugriff des zweiten LAN-Anschlusses ausschließlich für web-Verzeichnis

[Peinkillar]

Hallo,

meine DS1813+ hat mehrere LAN-Anschlüsse. Bisher ist sie so eingerichtet, dass nur aus dem internen Netzwerk darauf zugegriffen werden kann und über VPN natürlich auch von außerhalb des Netzwerks.
Ich würde nur aber auch gerne eine öffentliche Webseite darauf laufen lassen. Ist es möglich einen zweiten LAN-Anschluss für den öffentlichen Verkehr zu nutzen mit einer öffentlichen IP, die nur auf den web-Ordner zugreifen kann?
Natürlich könnte man alles öffentlich machen, aber es wäre mir lieber, wenn ausschließelich der Homepage-Bereich von außerhalb gesehen werden könnte.

Dennis

 

[Ap0phis]

Dazu solltest du mindestens 2 wichtige Dinge beachten:

1. mit einem öffentlich zugänglichen Webserver wird deine DS und alle seine Platten wohl eher selten in den Ruhezustand gehen. Für mich wäre der Stromverbrauch bei einer 1813+ dafür viel zu hoch. "Alle" internen Platten wären ständig aktiv!

2. so wie du dir das vorstellst wird es nicht gehen. Es geht mit einem LAN-Anschluß ganz genauso wie mit zweien. Es muß lediglich der Port 80 von deinem Router auf die DS weitergeleitet werden. Der Traffic für die Homepage ist so gut wie nichts im Vergleich zur LAN-Geschwindigkeit und daher leicht zu vernachlässigen. Auch mit dem zweiten LAN-Anschluß hast du nicht mehr Sicherheit, wie mit nur einem LAN-Anschluß.

...

 

[Peinkillar]

Hallo Ap0phis,

vielen Dank für deine Antwort.

Vielleicht hätte ich ein bisschen was zur Konfiguration dazu schreiben sollen. Also wir befinden uns hier im Uni-Netz und uns stehen mehrere feste IPs zur Verfügung, bin also nicht direkt hinter einem Router.
Ich habe jetzt in der Firewalleinstellung der Diskstation gesehen, dass man für jeden LAN-Anschluss eigene Regeln angeben kann. Kann man dann nicht einfach sagen, dass über LAN-2 mit der externen IP nur der 80er Port weitergeleitet wird?

Dennis

 

[Ap0phis]

Ok, das sind in der Tat keine gewöhnlichen Voraussetzungen. ;-)
Das sollte dann genau so machbar sein. Da kannst du dann ja auch in Ruhe mal alles testen.

 

[jahlives]

H
Ich habe jetzt in der Firewalleinstellung der Diskstation gesehen, dass man für jeden LAN-Anschluss eigene Regeln angeben kann. Kann man dann nicht einfach sagen, dass über LAN-2 mit der externen IP nur der 80er Port weitergeleitet wird?

das "Hinbringen" der Anfragen dürfte nicht das Problem sein. Das Prob kommt bei den Antworten, welche der Server zurückschickt. Denn Antworten gehen grundsätzlich über eine Default Route raus. Meist bekommt aber dasjenige Interface die default Route, welches als erstes oben ist. Und default Routen kann es nur eine geben pro System. Unabhängig davon wieviele Interfaces ein System hat. Du kannst also nur auf einem Interface öffentlich erreichbare Dienste anbieten. Was nicht geht wäre z.B. auf Interface 1 einen öffentlichen Webserver und auf Interface 2 einen öffentlichen Mailserver zu binden. Einer der beiden wird seine Antworten nicht an den Client zurückbringen bzw kann sie schon zurückbringen aber der Client (Firewall) wird diese Pakete mit Garantie verwerfen, weil die Antworten von einer anderen IP kommen, als dass die Anfrage geschickt wurde