mehrere Seiten selbst hosten / allgemeine Fragen

[DerNiemand]

Hi,

Wenn ich mit Wordpress eine Zweitseite mache, dann ist die ja nicht unter 192.168.x.xxx zu erreichen (ist noch nicht onlinegeschaltet) sondern unter 192.168.x.xxx/test/
Wenn ich seitea.de aufrufe, soll die Seite auf 192.168.x.xxx aufgerufen werden und wenn ich seiteb.de tippe, 192.168.x.xxx/test/ aber ohne, dass im Link oben /test/ auftaucht. Wie ist das möglich?

Kann man rein theoretisch auf Server A an Standort A die seite "www.einetestseiteoderso.de" haben und eine weitere Seite "www.shop.einetestseiteoderso.de" auf Server B an Standort B haben? Wie kann man das lösen? Über zwei Domains? Oder könnte man irgendwie einen internen Link von "www.einetestseiteoderso.de/shop/" auf einen zweiten Server verlinken?

Ich steige da gerade ein wenig nebenbei ein, also nicht gleich hau'n

Wie sieht es mit Absicherung aus? Weil im selben Netzwerk laufen auch andere Sachen (Plex, Nextcloud, FTP) und auch ein Fileserver mit privaten Daten, deren Übertragung zwar per SSL verschlüsselt sind, aber man weiß ja nie

Aktuelle Konfiguration:
2 Server:
1* Debian 8/OMV3 als Fileserver mit Plex und privaten Daten
1* Proxmox-Server mit mehreren VMs, u.a. 1*Debian 8 für Wordpress mit Multisite (ohne SSL, da ich nur ein selbstsigniertes SSL-Zertifikat habe) und 1*Ubuntu Server 16.10 für Nextcloud (verschlüsselt).

Kann ich irgendwie verhindern, dass jemand, der auf die Website von der Wordpress-VM zugreift, auch auf die anderen VMs und Server zugreifen kann? Reicht eine simple Weiterleitung von einzig Port 80 an diese VM? Kann ich das mit zwei Domains irgendwie regeln? Dass wenn ich "www.meineprivateurl.de" eintippe, auf meine privaten Sachen zugreife und wenn ich "www.meineöffentlicheurl.de" auf den Webserver und NUR dort zugreifen kann?

 

[Revolution]

Du bist im 192.168 Netzwerk die Seiten können nur lokal aufgerufen werden die ips können im Internet nicht verwendet werden und werden dort auch ned transportiert... Deswegen brauchst du die auch ned zu xxx en...

Zum Rest was du suchst nennt sich vhosts unter apache

 

[DerNiemand]

Ja das weiß ich, mir war die IP aber nicht ganz eingefallen

ah okay, das schaue ich mir mal an! Danke

Macht es Sinn, diese VM in ein anderes Subnetz zu legen (statt 192.168.0.xxx in 192.168.2.xxx) ?
Um die Seite dann offline bearbeiten zu können, müsste der Rechner dann auch in diesem Subnetz hängen, oder? Das könnte man aber vielleicht mit einer zweiten VM lösen.

 

[poly123]

Liegt dem WP ein Apache zu Grunde? Wenn ja, dann als Stichwörter: vhost Konfiguration und im speziellen "rewriting" (gerade in Bezug auf die Pfandangabe)

Direkt kann man letzteres bei ein paar CMS Systemen imho aber auch per Oberfläche einstellen.

 

[DerNiemand]

Ja, Apache2. Okay, werde mich da mal umgucken, ob ich da was finde

 

[snaxilian]

Wenn du deine Seiten im Internet zur Verfügung stellen willst und das System, solltest du dir auf jeden Fall Gedanken machen zur Absicherung. Apache2 hardening und Google ist dein Freund, auf den ersten Blick ist das hier ein recht brauchbarer Link. Damit hast dann den Webserver an sich grundlegend abgesichert. Auch solltest du natürlich ausreichend starke Kennwörter verwenden. Zusätzlich noch SELinux und ggf. ein Host-based IDS z.B. Tripwire sowie Firewall auf dem System (iptables). Wichtig hierbei ist auch IPv6 zu beachten, das wird sehr sehr gern vergessen
Bei Zugriff aus dem Internet gehört die VM auf jeden Fall in ein eigenes VLAN. Gleiches Netz nur anderes Subnetz/IP-Bereich ist keine Trennung, Zugriff aus den einzelnen Netzen dann per pfSense oder IPCop/IPFire regeln.

 

[DerNiemand]

Danke dir für die Ausführungen.
Ich habe den Webserver auf einem Proxmox-Host am laufen. Reicht die proxmox-Firewall da aus?

 

[aPollO]

Liegt dem WP ein Apache zu Grunde? Wenn ja, dann als Stichwörter: vhost Konfiguration und im speziellen "rewriting" (gerade in Bezug auf die Pfandangabe)

Direkt kann man letzteres bei ein paar CMS Systemen imho aber auch per Oberfläche einstellen.

Wie poly123 sagt. Du musst dir vhosts anschauen.
Ein Vhost (virtueller Host) macht genau das, was du möchtest. Der Apache erkennt dann ob du www.A.com aufrust und Zeigt dir dann den Inhalt von /var/www/A/ oder ob du www.B.com aufrust und zeigt dir dann den Inhalt von /var/www/B/. Die Pfadangaben sind jetzt mal nur Beispielhaft, deine Websites könne natürlich auch irgendwo anders auf dem Server liegen.
Das geht auch im LAN. Du musst nur deine LAN-Adresse in den DNS Eintrag der Domain eintragen, nicht besonders schön ich weiß. Aber das geht (natürlich nur in deinem LAN dann).
Wenn du eine Website hast auf einem Server von einem Provider und Zuhause in deinem Proxmox liegt die Website zum testen, kannst du einfach eine Subdomain machen. Du brauchst keine zweite Domain.

Also Beispiel:
derniemand.de - A Record auf 10.11.12.13
b.derniemand.de - A Record auf 192.168.0.5

"Eine" Domain mit mehreren Subdomains die alle auf eine andere IP gestellt sind.

Danke dir für die Ausführungen.
Ich habe den Webserver auf einem Proxmox-Host am laufen. Reicht die proxmox-Firewall da aus?

Dein Proxmox hängt doch sicher hinter deinem Router oder? Würde ich nicht machen. Bau dir eine DMZ wenn du Websites ins Internet bringen willst du du bei dir Zuhause hostest. Das ist wesentlich sicherer. Generell würde ich sagen man kann das schon machen, eine Website auf einem Server im LAN zu hosten und z.B. per Port-Forwarding ins Internet zu stellen. Dann sollte man aber wissen was man tut, was du offenbar nicht weißt.

 

[DerNiemand]

Hi,
Danke dir. NOCH weiß ich es nicht, bin aber am lernen

DMZ ist doch afaik = alles wird durchgereicht, oder?

 

[aPollO]

Hi,
Danke dir. NOCH weiß ich es nicht, bin aber am lernen

DMZ ist doch afaik = alles wird durchgereicht, oder?

Nein überhaupt gar nicht. Das ist die Funktion wie sie einige Router verstehen, der Sinn dahinter ist aber nicht dort einen Rechner hin zu stellen sondern eine Firewall.
Eine DMZ (Demilitarisierte Zone) ist ein isoloierter Bereich im Netzwerk, getrennt vom LAN und den kritischen Bereich. Das was in deinem Router als "DMZ" bezeichnet wird ist eigentlich genau das Gegenteil, hier werden alle Daten in dein LAN geleitet was sicherheitstechnsich absolut katastrophal ist.
Google einfach mal nach DMZ da gibts viele schöne Visualisierungen dazu.

 

[DerNiemand]

Achso verstehe. Also sollte ich eine Firewall aufbauen.
Fragen:
- reicht es, nur für den Proxmox-Server eine zu nutzen?
- wenn ja, wie konfiguriere ich das? Ich kann ja sowohl für Rechenzentrum, Knoten als auch VM eine eigene Firewall aktivieren
- wenn nein: reicht eine virtualisierte IpFire Installation? Sind da zwingend drei NICs von Nöten?

Warum reicht nicht die Firewall im Router aus und eine Portfreigabe auf die Webserver-VM?

 

[aPollO]

Wenn du es "sicher" haben willst brauchst du dringend zwischen deinem LAN und der VM, auf der du das alles einrichten willst, eine Firewall. Das kann die von Proxmox sein. Du richtest eine Regel ein die allen ausgehenden Verkehr von der VM in dein LAN verbietet. Wenn das alles in einem Subnet ist, wird es natürlich bisschen kompliziert aber sollte auch realisierbar sein. Einfacher wäre es aber mit mehreren Subnetzen aber das wird mit deinem Router warscheinlich schwierig..

Zu deiner letzten Frage eine Gegenfrage. Was machst du wenn Jemand eine der Websiten auf dem Server hackt und diese dann nutzt um Code auf der VM auszuführen und so in die Geräte in deinem LAN einbricht? Du musst bedenken, dass dein Router bisher alles von außen blockiert hat. Jetzt machst du aber eine Türe auf, das heißt die Leute kommen auf den Webserver, also in dein LAN. Wenn jetzt Jemand die Kontrolle durch diese offene über die VM erlangen sind sie direkt bei dir Zuhause. Alles in deinem Netz ist dann komplett ungeschützt, kein Router mehr dazwischen der die Geräte "schützt".

 

[DerNiemand]

Ah okay! Jetzt verstehe ich es.

Wenn ich allen ausgehenden Verkehr der VM ins LAN blockiere, kann ich dann noch auf die VM zugreifen? Kann man mit Proxmox, wenn man einen zweiten vNIC erstellt, damit ein zweites Subnetz erstellen? Wenn ja, wie kann ich die Webseiten noch bearbeiten, wenn mein PC in einem anderen Subnetz steht? Nur noch über die Portfreigabe ins Internet? Funktioniert das überhaupt so mit einem "normalen" Router?

 

[aPollO]

Also ich persönlich würde mein LAN einfach hinter einen zweiten Router hängen. Das wird dann zwar doppelt geNATet aber das ist im regelfall kein Problem.
Aber wenn du keine neue Hardware haben möchtest funktioniert das so, oder so ähnlich wie du beschrieben hast. Aus deinem LAN kommst du dann nicht mehr direkt auf die VM sondern nur über die Port-freigabe bzw. du kannst ja in der Firewall das Erlauben was du brauchst z.B. FTP oder SSH.
Was mit deinem Router geht und was nicht weiß ich nicht, ich hab ja keine Ahnung was du für einen Router hast und was der so kann und was nicht.

Edit: So würde ich es machen. aber das ist nur ein Weg von vielen. Aber ein ziemlich sicherer.

 

[DerNiemand]

mein "Hauptrouter" ist ein TP-Link Archer C5.
Das Problem ist, dass auf dem Proxmox-Server auch noch andere Geschichten laufen, die ich gerne im Netzwerk verfügbar hätte.
Ich hätte noch einen billigen Router über, der als Firewall fungieren könnte.

Was eine weitere Möglichkeit wäre: ipfire in einem Gast installieren. Problem: Es gibt keine (bezahlbaren) 2-Port NICs für PCI-E 1x und Low Profile. Ich könnte also nur 2 NICs nutzen und die Proxmox-Internen Sachen mittels eines vNICs lösen (wenn das geht?)

 

[aPollO]

Du könntest auf den TP-Link DD-WRT oder OpenWRT installieren und mir VLANs arbeiten. Das wäre so gesehen das "gescheiteste" aber sicher kompliziert, wenn man jetzt nicht grad Netzwerk-Profi ist.
Ich denke das einfachste ist wirklich auf der Proxmox-Firewall alles in dein LAN von der VM kommend zu verbieten bis auf das was du halt zwingend brauchst um die Websites zu administrieren. Den Verbindungsaufbau aus dem LAN zur VM kannst du ja erlauben und andersrum verbieten. Ob das die Proxmox Firewall so kann bin ich mir grade nicht sicher aber mit ipfire geht es auf jeden Fall.
Ich richte sowas aber auch nicht täglich ein. Du brauchst ja nur TCP oder? Dann kannst du das ja ganz simpel über einen Paketfilter und das ACK-Flag machen.

 

[DerNiemand]

D.h. ich gehe bei der VM in die Firewall-Settings und setze es wie im Bild?



192.168.0.1 ist die IP vom Router. Mein DNS-Gateway ist aber ein RPi mit einer anderen IP.

 

[aPollO]

Ohne jetzt genau zu wissen was bei dir net0 ist und was du tun möchtest würde das allen Verkehr zwischen der VM und dem Router blockieren.

Eher so

Das würde die Kommunikation mit dem Router erlauben aber alles andere verbieten. Die erste Regel die matched wird genommen, as bedeutet die erste Regel tritt im Fall des Routers als erste ein und die Kommunikation wird erlaubt. Obwohl die zweite Regel sie theoretisch verbieten würde.

 

[DerNiemand]

Woher kenne ich die IP des LANs?
Mein Router hat 192.168.0.1
DNS-Gateway: 192.168.0.100
LAN-IP-Bereich: 192.168.0.100-199

also 192.168.0.100/24?

 

[aPollO]

Woher kenne ich die IP des LANs?
Mein Router hat 192.168.0.1
DNS-Gateway: 192.168.0.100
LAN-IP-Bereich: 192.168.0.100-199

also 192.168.0.100/24?

Der "LAN-IP-Bereich" ist nur der DHCP bereich. Also was dein Router dynmisch vergibt. Wenn du eine IP fest vergibst sollte sie außerhalb des Bereichs liegen, zwischen 192.168.0.2-99 oder 200-254. Du kannst den DHCP Bereich in deinem Router auch ändern wie du lustig bist, solange er in deinem Subnet ist. z.B. auch von 2-254 oder von 150-200 oder von 200-250.


Das LAN hat keine IP. Dein Subnet hat eine "Subnetmask" die die größe des Netzwerks angibt. Wie das genau funktioniert brauch ich jetzt nicht erklären, dazu musst du dich mal mit Subnetting beschäftigen.
Ich gehe in meinem Besipiel davon aus, dass du die Subnetmask 255.255.255.0 hast. Die Prefix-Schreibweise davon ist /24 weil 255.255.255.0 sind Binär 24 1er hintereinander. Also 11111111.11111111.11111111.00000000. Das bedeutet das Subnet hat insgesamt 254 nutzbare adressen (192.168.0.1 - 254). Dein Netz hat die Netz-ID 192.168.0.0 und die Broadcast-Adresse 192.168.0.255. Ergibt zusammen 256 Adressen.
Hättest du jetzt als Subnetmask die 255.255.0.0 würde dein (nutzbares) Netz von 192.168.0.1 bis 192.168.254.254 gehen und hätte die Adresse 192.168.0.0/16 und du hättest 64516 Adressen statt 254 in diesem Netz. Thereotisch kann man auch /17 /18 /19 u.s.w. haben. Kommen dann halt krummere Beispiele raus als die von mir aufgezeigten.

Für weitere Erklärungen und Beispiele bitte Google kontaktieren sonst platzt mein Beitrag ich bin eh nicht der beste Lehrer.