Das Notes Forum

Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: Tekieler am 24.02.09 - 18:29:01

Titel: Internetzugriff über Port 443
Beitrag von: Tekieler am 24.02.09 - 18:29:01

Hallo zusammen,
ich bräuchte mal einen Lösungsansatz.

Wir haben einen Cluster mit 2 Servern, auf dem sind alle Mail-Datenbanken.
Nun haben wir für den Internetzugriff, für bestimmte User, einen Dominoserver in der DMZ stehen.
Zu diesem werden bei Bedarf immer die entsprechenden Mailfile rüber repliziert und die User greifen dann über HTTPS zu.

Nun gibt es den Ansatz auf den Dominoserver in der DMZ zu verzichten und per Firewallregel die User direkt auf einen Dominoserver im Cluster zu leiten (die Internetuser kommen dann über Port 443). Aus dem Intranet soll der Webzugriff uneingeschränkt funktionieren (nur über Port 80)

    ??? Kann man den Zugriff über Port 443 steuern ala Allow_Access ...  ???
     
Mein Ansatz wäre bis jetzt folgender:
Eine weitere Netzwerkkarte auf dem Server zu konfigurieren (mit eigener IP-Adresse) und auf die per Firewallregel die User zu leiten.
Einen neuen Port im Domino anlegen und per "Allow_Access_Portname=Internetgruppe" die Berechtigung zu steuern.

Vielleicht gehts ja auch einfacher - würde mich über eine Lösungsansatz freuen

Gruß
Christoph



 

Titel: Re: Internetzugriff über Port 443
Beitrag von: alexhe am 25.02.09 - 09:12:04

Hi Christoph,

ist denn der Port 443 in eurer Firewall generell freigegeben oder müsste hierzu eine extra Regel erstellt werden´?

Einen Port aufzumachen ist ein Sicherheitsrisiko, das gut erörtert werden muss.
Ansonsten würde ich den Port 443 auf den Port 80 weiterleiten und dann könntest du dir die extra Netzwerkkarte sparen.

Ich würde persönlich allerdings bei der Konstellation mit der DMZ bleiben.

Titel: Re: Internetzugriff über Port 443
Beitrag von: eknori am 25.02.09 - 09:13:50

Mache es doch über einen reverse proxy; das spart das Replizieren der Datenbanken.

Titel: Re: Internetzugriff über Port 443
Beitrag von: Tekieler am 25.02.09 - 10:07:53

Die Weiterleitung würde in der Firerwall eine neue Regel erledigen, so das wenn man von aussen kommt nur per SSL zugreifen darf und dann direkt auf den Mailserver kommt. Das klappt so ja auch, aber ich muss noch irgendwie eine Berechtigung dort reinbekommen.
Von Innen dürfen alle per Web auf Ihre Mail, aber der Zugriff von aussen, muss gesteuert werden.


Das mit dem reverse proxy hab ich nicht ganz verstanden.
Habe aber schon gesehen, das hier etliches darüber drin steht - mal schauen