Brückenkopf

Aus Hacksaar Wiki
Wechseln zu: Navigation, Suche

Der Brückenkopf (oder die Bridge) ist eine besondere VM auf Rudi: Er dient als Proxy für Webseiten, die wir im Space hosten, als E-Mail-Relay, und als DNS-Server.

Web-Proxy

Wir haben nur eine öffentliche IPv4-Adresse. Um mehrere Webdienste unter unterschiedlichen Domains hosten zu können, werden daher die Web-Ports (80 und 443) dieser Adresse auf die Bridge geleitet. Dort läuft dann ein nginx als Reverse Proxy und gibt die Anfrage an den gewünschten Server weiter. Wenn du eine Webseite im Space betreiben willst, wende dich an den Admin (siehe Systeme), damit der Reverse Proxy entsprechend eingerichtet werden kann.

E-Mail-Relay

Durch weit verbreitete Spamschutz-Maßnahmen kann heutzutage nicht mehr einfach jeder Rechner seine Mails direkt beim Zielserver einwerfen. Daher sollten Mails, die wir aus dem Space verschicken, über hacksaar.de geleitet werden. Damit das nicht missbraucht werden kann, nutzt hacksaar.de client-seitige SSL-Zertifikate, um die Identität der absendenden Maschine zu verifizieren. Wenn deine VM Mails verschicken soll, benötigst du entweder ein entsprechendes Zertifikat - oder aber du lässt sie in der Bridge freischalten, die bereits ein solches Zertifikat besitzt. Die Bridge hängt im Intranet und kann daher VMs über ihre IP identifizieren. Wende dich an den Admin, wenn die IP deiner VM dafür freigeschaltet werden soll - und um zu erfahren, wie du auf deiner VM den MTA entsprechend einrichtest. Falls nur einzelne Programme Mails verschicken müssen, brauchst du vermutlich keinen MTA einrichten, sondern kannst die Mails direkt am Brückenkopf abladen.

DNS-Server

Auf der Bridge läuft unbound als DNS-Server, der unser gesamtes Intranet bedient. Er ignoriert den Server unseres Providers und löst Domain-Namen selbst auf. So sind wir nicht von fragwürdigen DNS-Verschlimmbesserungen (wie z.B. der Navigationshilfe von T-Online) betroffen. Nebenbei kann die Bridge die Echtheit der DNS-Antworten via DNSSEC überprüfen. Natürlich musst du immer noch unserem Intranet vertrauen, wenn du diese Überprüfung nutzen willst, aber das ist im Vergleich zum Provider-Netz schon mal ein Fortschritt.

Genau genommen gibt es ein paar Geräte, die nicht die Bridge als DNS-Server nutzen: Nina und Vera stellen zentrale Netzwerkinfrastruktur, und Rudi ist der Host der Bridge, sie sollten also alle ohne diese VM funktionieren und nutzen daher die FritzBox (und damit die DNS-Server unseres Providers) zum Auflösen von Namen.