Domain Computer ohne Internet aber mit Email Client

[nico1991]

Hallo zusammen,

habe mal wieder ein Problemchen und möchte folgendes realisieren:

Habe eine Domain mit ca. 20 Rechnern. Davon haben ca. 5 Stück Internetzugriff, die restlichen 1 nicht. Das habe ich im Moment so gelöst, dass ich bei Netzwerkeinstellungen kein Standard Gateway eingetragen habe. Vielleicht ist das nicht die beste Lösung, aber es funktioniert.

So nun zu meiner Frage. Wie kann ich es erreichen, dass 2 Rechner von den 15 ohne Internetzugang trotzdem Emails versenden und empfangen könnten, ohne ihnen aber die große weite Welt des WWW zugänglich zu machen?

Hoffe ihr versteht mein Problem.

Liebe Grüße

Nico

 

[rainbow6261]

Indem man sich einen Emailserver in die Domain stellt und am besten einen Proxy der den Internetzugang managt.

 

[raventhx]

email=exchange oder webmail?

 

[SB1888]

Vernünftigen Proxyserver einrichten der die Internetverbindung verwaltet und das interne Netz und die DMZ physikalisch trennt.
Anschließend kannst du auch weiterhin mit dem Standardgateway arbeiten musst eben nur den Proxy angeben bei den PCs die Internet brauchen.

 

[Raijin]

Hm.. Man könnte beispielsweise explizit eine Route zum Mail-Server eintragen.

Default Gateway heißt ja nichts anderes als:
Alle Daten, die nicht ins lokale Netzwerk gehören, an das Standard Gateway schicken - welches die Daten wiederum ins Internet leitet.

Eine konkrete Route zur IP Adresse des Mail-Servers, heißt das für den PC dann:
Alle Daten, die an die Adresse des Mail-Servers gehen, an das Gateway schicken


Das ginge zB so:

WindowsTaste+R => cmd => Enter
route add ip.adresse.des.servers mask 255.255.255.255 ip.adresse.des.gateways

Allerdings kann es sein, dass du für SSL, Sende- bzw. Empfangsserver, etc. jeweils eine Route eintragen musst. Außerdem weiß ich nicht ob zB die Mail-Server von GMX auch wirklich immer über dieselbe IP erreichbar sind, da das ja über Namensauflösung läuft (zB mail.gmx.net). Routen nach Namen funktioniert so leider nicht.

 

[moritzkatz]

... oder nur die Ports für email freigeben und die fürs internet nicht.

Tschau
Stefan

 

[nico1991]

Leichte Reizüberflutung

Vielen Dank erstmal für die schnellen Antworten!

Sehe ich das richtig, dass die sauberste Lösung die von SB1888 ist? Wenn ja, was bräuchte ich alles dazu? DC ist noch nen 2003 R2. Clients sind XP oder WIN7. Preislich sollte, wenn überhaupt kosten entstehen, sich das ganze im Rahmen halten!

Nico

 

[Kyze]

Ja entweder die von SB1888 oder aber die von mortizkatz über die Firewall.

Andere vernünftige Lösungen sind nicht drinne.

Die von moritzkatz ist dabei wahrscheinlich am einfachsten und günstigsten umsetzbar.

 

[raventhx]

sign

 

[nico1991]

@Kyze

ok, dann werde ich doch erstmal die einfache und günstige Lösung versuchen. Die Ports lassen sich bestimmt leicht herausfinden, wie bringe ich dem Server bei, dass Computer A alle Ports nutzen darf und Computer B nur die entsprechenden Email Ports? In welchem Punkt in der Verwaltung kann ich das zuordnen und hat jmd. vielleicht ne Art kleines Tutorial?

Vielen Dank schonmal

 

[marcol1979]

Für das was du machen möchtest wäre wohl eine UTM mit der Möglichkeit ACLs zu erstellen am sinnvollsten.
"Die 5 Computer mit IP *** dürfen ***, und die anderen dürfen nur ***"

Denn sobald die Nutzer auch nur ein bisschen technisch versiert sind hebeln die das Port System aus.

 

[Kyze]

Dafür müsste man schon dein Firewall-modell wissen.

Allgemein solltest du regeln für einzelne Hosts oder Hostgruppen erstellen können.
Da gibst du dann die Portpaare für IMAP oder POP3 frei (den Rest verbieten) und fertig ist die Zauberei.

 

[MaverickM]

... oder nur die Ports für email freigeben und die fürs internet nicht.

Exakt. Bei allen Rechnern die korrekten Einstellungen fürs Gateway und an denen ohne WWW einfach Port 80 (+evtl. noch andere unerwünschte) sperren, Idealerweise im Gateway oder DNS Server.

 

[nico1991]

Werde ich am Wochenende versuchen

Vielen Dank für die Hilfestellung!