Hinweise zum Betreiben von Serverdiensten auf einer Flatrate

Zurück zur Homepage ..---.. Mail an

Die folgenden Tips orientieren sich an meiner früheren DSL-Installation: 2 Rechner, die über einen Zyxel-Prestige 314-Router an eine T-DSL-Flatrate angebunden sind. Beide bieten alternierend identische Dienste an: WWW-Server u. ftp-Server. Rechner 1 ist ein P-III-1000 mit 512 MB RAM und 10/100 Mbit-Ethernetkarte unter W2K, Rechner 2 ein P-III-450 mit 10 Mbit-Ethernetkarte (mittlerweile auf eine 100 Mbit Netgear-Karte umgerüstet) unter WinNT 4.0SR6a, wenn dieser aktiviert ist, greift er auf die Platte des anderen Rechners zu, da ein BIOS-Update zur Unterstützung großer Platten auch nach mehreren Versuchen scheiterte.
Nach aktueller Lesart ist der Betrieb eines Routers an der T-Online-DSL-Flatrate nur dann zulässig, solange es sich um die PCs eines T-Online-Users handelt, ggf. sollte man sich als Wohngemeinschaft anmelden.

Was braucht man?

mindestens einen PC, für den Einstieg wäre ein PC mit 256 MB RAM unter Microsoft Win2000 (im folgenden als W2K abgekürzt) nicht schlecht. Für den Betrieb an einer DSL-Leitung tut es auch ein P133 mit 64 MB RAM unter NT (als Minimalkonfiguration).
einen Webserver, z. B. den Freeware-Apache oder den Microsoft Internet Information Server (IIS)
einen ftp-Server, z. B. FTP Serv-U oder Freeware-WarFTP
evtl. einen eigenen Mailserver (dies betrifft aber eher Firmen)
eine Domäne mit feste IP-Adresse oder einen DynDNS-Dienst, der eine Namensauflösung auf eine variable "dynamische" IP-Adresse leistet.
ein paar Zusatzprogramme

Webserver

Ich setze den Apache-Server ein, weil es ein schlankes, (in den Basisanforderungen) relativ idiotensicher zu konfigurierendes Programm ist. Aufgrund der Offenlegung seiner Quellen ist es auf viele Plattformen (u. a. Novell Netware, Linux, AIX, ...) portiert worden und ein im Internet ein sehr verbreitetes, sicheres, zuverlässiges Programm. Unter WinNT/W2K läuft es als Dienst im Hintergrund, es belegt kaum Ressourcen und macht kaum CPU-Last (zumindest bei den wenigen Zugriffen, die es auf meiner privaten Site am Tag abzuwickln hat).

FTP-Server

Der FTP Serv-U von Cat-Soft.com ist sehr einfach einzurichten und tut zuverlässig seinen Dienst.
Problem: Bei Einsatz des Programms ohne vorgeschalteten Router bekommt das Programm nicht mit, wenn sie die IP-Adresse des Rechners nach einem Leitungsabbruch geändert hat. Hier hilft es, wenn man die Leitung durch regelmäßiges Pingen vor dem Inaktivitätstimeout bewahrt und rechtzeitig vor Trennung durch den Provider (bei T-DSL exakt alle 24 h) selbst trennt, das ftp-Programm beendet und anschließend nach Verbindungsneuaufbau wieder startet. Bei Einsatz eines Routers hat der Rechner eine feste (private) IP-Adresse und der ftp-Server kann auch bei Trennung vom Internet und erneuter Verbindung eingeschaltet bleiben.
Das Programm läuft in v2.5 noch nicht als Dienst, wird also bei Abmeldung des Benutzers beendet. Version 3.0 dagegen besteht aus einem ftp-Dienst- und einem Administrationsmodul.

Zusatzprogramme

DynDNS-Client (s. unten). Bei mir hat sich DynSite für Windows von Noël Danjou bewährt, außerdem der Client von DNS2GO.com, dieser erkennt selbstständig eine neu bestehende Verbindung und meldet sich bei seinem Dienst hat und syncronisiert auf Wunsch die Rechnerzeit nach Atomuhren im Internet. Außerdem hält das Programm auf Wunsch die Leitung gegen Inaktivitätstimeout offen, indem nach einer einstellbaren Zeitspanne sogenannte "Heartbeats" (das sind PINGs, wie sie auch PING.exe versendet) versandt werden.
Der deutsche IP@ctive-Dienst bietet neben seinem eigenen Client eine Graphik zur Einbindung in die Webseite an, welche den Online-Status der durch den IP@ctive betreuten Site anzeigt. Dieser kostenlose Dienst wird auch vom DynSite-Client unterstützt.
KILL-Programm: Da sich FTP Serv-U nicht zeitgesteuert von außen beenden läßt, schiesse ich das Programm mit dem KILL von den Microsoft NT Server Resource Kit runter. Alternativ gibt es auch etliche Freewaretools, die das Gleiche leisten, z. B. pskill von Sysinternals.com. Für den Fall, daß man den Rechner neu booten möchte, gibt es auch verschiedene Shutdown/Reboot-Programme. Dann muß man natürlich darauf achten, daß die notwendigen Programme im Autostart-Ordner vorhanden sind.
Bei Einsatz eines Routers können diese Schneckentänze entfallen, da die Verbindung für die eingesetzten Programme immer stabil steht.
Zeitplanungsdienst: Unter WinNT/W2K kann man den Zeitplanungsdienst (entspricht dem UNIX-cron-Prozeß) starten und mit dem AT-Kommando Einträge vornehmen. Unter NT gibt es zusätzlich das WinAT-Programm aus der NT Server Ressource Kit, unter W2K gibt es den Zeitplanungsfolder. Hier habe ich den Leitungstrennjob und Jobs zur Anzeige von Zusatzinformationen (Server-Uptime, freier Plattenplatz, ...) eingetragen.
Firewall/Portüberwachungsprogramme: Es kann der friedlichste Serverbetreiber nicht in Frieden leben, wenn Script-Kiddies ihre Hacking-Fähigkeiten erproben wollen. Es sei hier an die defaultmäßig aktivierten adminisitrativen Freigaben unter WinNT/W2K erinnert, die es bei installiertem (und an den Interneteinwahladapter gebundenem) NETBEUI-Protokoll Hackern ermöglichen die Namen der Freigaben zu ermittln und sich mit ihnen zu verbinden. Es ist günstig überhaupt keine Freigaben auf dem Server zu haben.
Ein Portüberwachungsprogramm (neben dem etwas kruden NT-netstat-Befehl) zeigt die aktuell benutzten Ports an. Es ist auch nützlich zum Erkennen von Trojanern, die man unbedacht installiert hat.
Das ist auch bei Einsatz eines Routers ein Thema, weil man typischerweise die "well-known ports" bis 1024 gesperrt hat, Trojaner aber auch Ports oberhalb nutzen!
Ich rate jedem dringend nach Änderungen an seiner Router/Firewall-Konfiguration seinen Rechner einem Audit zu unterziehen, wie es z. B. der Landesbeauftragte für den Datenschutz Niedersachsen oder Firma Sygate anbieten.
Virenscanner: um einigermassen sicher zu sein, daß man keine Trojaner in Downloads hat und zur Sicherung von Software, die User u. U. hochgeladen haben, sollte man permanent einen Virenscanner mitlaufen lassen, dessen Signaturdateien natürlich dem aktuellen Stand entsprechen sollten.
Traceroute (NT/W2K: TRACERT.EXE) Tool zum Überprüfen des Wegs, den ein Datenpaket zum Empfänger nimmt, es leistet außerdem die Namensauflösung der IP-Adresse, sofern ein DNS-Server (Domänen Namensserver) verfügbar ist.

DynDNS-Dienste

Also, ein junger engagierter Friseur, nennen wir ihn mal Willi, plant im Internet für seine Freunde erreichbar zu sein.
Willi ist bei einem Call-by-Call-Provider, der ihm bei jedem Anruf eine andere IP-Adresse zuteilt. Wenn Willi Winzig nun von seinen Freunden via Internet-Telefonie angerufen sein oder der Quake-Host für seine Freunde sein möchte, brauchen diese seine aktuelle IP-Adresse. Feste IP-Adressen sind im aktuellen IPv4-Internet relativ knapp und müssen daher extra bezahlt werden. Im IPv6-Internet (mit 2¹²⁸ statt 2³² Adressen) später wird wohl jeder Bürger seine eigene IP-Adresse fest zugeteilt bekommen, aber bis dahin muß man sich halt behelfen.
Willi könnte die Adresse natürlich via ICQ, IRC, AIM, seine Homepage, ... mitteilen, das ist aber alles ziemlich umständlich. Willi wendet sich also an einen DynDNS-Dienst (das steht für Dynamischer Domain Name Server, auch Dynamic Domain Service), diesem teilt er seine aktuelle IP mit: 62.35.12.188 und registiert einen symbolischen Namen z. B. willi.dyndns.org. Wenn sein Freund ihn nun anrufen will, trägt er in seinem IP-Telefonie-Programm nicht 62.35.12.188 sondern willi.dyndns.org ein. Der Dienst löst den Zugriff zu willi.dyndns.org auf die jeweils von Willi gemeldete IP-Adresse auf.
Zunächst übermittelt Willi seine IP-Adresse mittels Webbrowser von Hand. Bald zeigt sich aber, daß das ziemlich umständlich ist, denn Willi hat mittlerweile eine Flatrate und möchte Tag und Nacht erreichbar sein. Er installiert den DNS2Go-Client und zusätzlich einen allgemeinen Client, der mehrere Provider unterstützt. Den Zeitpunkt einer Netztrennung legt er in eine verkehrsschwache Zeit (frühmorgens), damit die DynDNS-Dienste möglichst problemlos zu erreichen sind.
Features, die ein guter DynDNS-Client unterstützt: Wiedereinwahl bei Trennung der Verbindung, Zeitplan-gesteuerte Einwahl/Trennung der Internetverbindung, Ping-Funktion zum Erhalt der Verbindung bei Inaktivität, Statistik über die Verfügbarkeit des DynDNS-Dienstes, Synchronisation der Systemuhr anhand von Zeitservern, Abmeldung vom DynDNS-Dienst ohne Verbindungstrennung, zusätzlich eine Option, daß sich das Programm nach Anmeldung beim DynDNS-Dienst beendet.

Kostenlose DynDNS-Dienste:

Übersicht DynDNS-Anbieter & Clients	www.myip.org
DynSite-Client (leicht zu bedienen, unterstützt >120 Dienste)	www.dtdns.com (dtdns.net, darktech.org, etowns.net)
DNS Resources Directory	www.dyndns.org (ath.cx, homedns.org, serveftp.net)
www.ipme.de (ip@active mit Online/Offline-Graphik u. Client)	www.dyndns.dk (einfaches Web-Frontend, Update per Wget möglich)
Die eigene IP ermitteln, 2. Site oder so:	www.dns2go.com (toller mittlerweile kostenpflichtiger Client mit Zeitserver-Abfrage etc.)

Nützliche Webdienste zum Selbsttest bei Problemen

Eigene IP-Adresse anzeigen (Proxy abschalten!)
Traceroute-Webfrontend, SamSpade-Toolsammlung
Visual-Traceroute-Webfrontend 2. Site
nslookup - Löst mein DNS Namen korrekt auf?
www2ftp.de ftp-Server mit http zugreifen
Looking Glass-Server und andere Tools bei IP-Plus
Tracer: Ping, Traceroute, Mailchk, Finger
Netcraft - Welcher Webserver wird eingesetzt und wie lange läuft der schon?
Online Privacy & Proxy Tests
Tools-on.net - Whois Tool, Ping, Traceroute, Portscans und mehr
Network Tools
c't-Netzwerkcheck
Bürger-CERT

Warum ein Router?

Ein Router bietet folgende Vorteile:

Transparenter Zugriff der Rechner aufs Internet, d. h. es macht für den Rechner keinen Unterschied, ob eine lokale Freigabe oder ein ftp-Server im Internet zugegriffen wird.
Automatische Wiedereinwahl bei Trennung der Verbindung (bei Flatrate) bzw. automatische Trennung bei Inaktivität (bei Abrechnung nach Verbindungsdauer).
Hohe Sicherheit bei korrekter Konfiguration durch private IP-Adressen der lokalen Rechner, teilweise auch mit Firewall-Funktionalität des Routers. Portscans von außen haben keinen Erfolg mehr. Personal Firewall-Software wird teilweise überflüssig.
Einfacheres Handling: Der lokale Rechner hat intern immer die gleiche IP-Adresse (bei Bereitstellung von Serverdiensten wie ftp oder http) oder bezieht eine IP-Adresse vom Router (DHCP bei Laptops).
Unabhängigkeit der Rechner von besonderen Provider-Protokollen (z. B. PPPoE bei T-DSL): die Rechner haben nur Standard-TCP/IP-Treiber installiert und benötigen keine T-Online-Treiber.
Bei Zyxel Prestige-31x- oder Linksys WRT54G-Routern: Direkte Unterstützung des Dyndns.org-Dienstes durch den Router (das ist aber auch bei anderen Routern unkritisch, da die DynDNS-Software-Clients auch bei Einsatz eines Routers die IP-Wechsel des Routers mitbekommen)
Router sind teilweise mit 4-Port-Switches bzw. -Hubs erhältlich und erleichtern so die Verbindung der lokalen Rechner untereinander.
Zyxel-Router sind sehr günstig und schnell bei RS-Systeme erhältlich (z. B. Zyxel Prestige 314 für ~150 EUR). Eine gute Zyxel-Supportseite ist http://www.zyxeltech.de/.

Nachteile:

Administrationsaufwand bei der Ersteinrichtung des Routers (über eine Telnet-Sitzung via LAN ist es aber nicht so schwierig ...)
Bei restriktiven Filterregeln: Schwierigkeiten bei manchen Internetdiensten, wie Netmeeting, ICQ (besonders, wenn man deren benutzte Ports nicht kennt).

Wie bekomme ich Besucher auf meinen Server ohne überrollt zu werden?

Methode 1: ich melde mich bei http://search.oth.net/ oder http://www.audiogalaxy.com/ oder etwas subtiler im Userverzeichnis meines Dyndns-Dienstes (z. B. Dns2go.com) an.
Ergebnis: Je nach Frequentierung des gewählten Dienstes hat man innerhalb von 5 - 10 Minuten die Maximalanzahl User auf dem Rechner erreicht und jeder User hat ein Downloadrate von unter 0,5 KB/s. Alle paar Stunden, wenn sich die Lage etwas beruhigt hat, besucht mich der Spider der Suchmaschine wieder und mein Eintrag in dessen Verzeichnis lockt weitere User an, die zum großen Teil nur die Meldung "zuviele User für dieses Account" sehen und rausfliegen. Die wenigen User, die ihren Download erfolgreich durchbringen, haben keine Lust bei diesen Übertragungsraten freiwillig einen Upload zu machen.
Methode 2: Ich verteile persönliche Accounts im Freundeskreis.
Die erste Woche geht die Post ab und dann nur noch gelegentlich ein User - man kann ja nicht jede Woche für seine Kumpels was Neues bieten.
Methode 3: Ich melde mich für kurze Zeit bei einem der Dienste von Versuch 1 an und sperre dann die IP-Adresse seines Spiders, nachdem dieser meinen Rechner ein- oder mehrfach durchsucht hat (je nach ftp-Server muß man die IP eingeben oder kann auch den aufgelösten Namen (search.oth.net) oder eine Netzmaske angeben: 64.245.54.* (Audiogalaxy)). Der Eintrag meiner Dateien verschwindet kurze Zeit später aus der Suchmaschine, weil diese mich als offline betrachtet. Von den wenigen Usern, die sich nun einloggen, kommen einige auch später, wenn man nicht mehr in der Suchmaschine eingetragen ist, wieder. Wenn man diese Prozedur mehrfach wiederholt hat, hat man einen kleinen stabilen Stamm von Usern, die auch freiwillig uploaden, wenn sie von ihrem Gewissen gejagt werden. Bei dieser Methode der Usergewinnung lernt man Leute aus der ganzen Welt kennen, dafür läßt sie sich nicht anwenden, wenn man den Rechner unbeaufsichtigt laufen läßt.
Methode 4: Ich suche mir in Newsgroups/Foren eine Gruppe Gleichgesinnter und vereinbare gegenseitige Leech-("Sauger-")Accounts. Vorteil dieser Methode ist, daß die Uploads eher den eigenen Geschmack treffen als die Uploads von völlig Fremden.

Nach meiner Erfahrung sind Methode 3 u. 4 die günstigsten.

Zurück zur Homepage ..---.. Mail an