Hallo Liste. Ich möchte gerne den Zugriff auf einen Rechner im LAN aus dem Internet öffnen. Die Besonderheit in diesem Falle ist, daß dieser Rechner per samba und nfs einen Verzeichnisbaum exportiert, der auf keinen Fall aus dem Internet erreichbar sein soll. Ich habe daher in der Konfiguration der Firewall nachgesehen, ob man den Zugriff auf bestimmte Ports/Dienste auf bestimmte IP-Adressen beschränken kann. Da habe ich aber nichts gefunden. Finden konnte ich nur bei samba selbst die Beschränkung der Zugriffe auf ein bestimmtes Netzwerk, bzw. bei NFS die Steuerung via hosts.allow oder hosts.deny. Was ich aber gerne hätte ist, daß schon die Firewall die Zugriffe abfängt, die nicht aus dem LAN kommen. Wie löst man so etwas kunstgerecht, ohne später Überraschungen zu erleben? -- Andre Tann --------------------------------------------------------------------- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 12. November 2006 16:57 schrieb Andre Tann:
Ich möchte gerne den Zugriff auf einen Rechner im LAN aus dem Internet öffnen. Die Besonderheit in diesem Falle ist, daß dieser Rechner per samba und nfs einen Verzeichnisbaum exportiert, der auf keinen Fall aus dem Internet erreichbar sein soll.
Schlechte Idee.
Ich habe daher in der Konfiguration der Firewall nachgesehen, ob man den Zugriff auf bestimmte Ports/Dienste auf bestimmte IP-Adressen beschränken kann. Da habe ich aber nichts gefunden.
Über die SUSE-Firewall wird das vermutlich so nicht gehen, da musst Du selber Hand an iptables legen. Nichtdestotrotz, schlechte Idee. Erstens gibt es gefakte IP-Adressen und zweitens gehen die ganzen Daten unverschlüsselt übers Netz, da kann z.B. Dein Provider munter mitlesen.
Finden konnte ich nur bei samba selbst die Beschränkung der Zugriffe auf ein bestimmtes Netzwerk, bzw. bei NFS die Steuerung via hosts.allow oder hosts.deny. Was ich aber gerne hätte ist, daß schon die Firewall die Zugriffe abfängt, die nicht aus dem LAN kommen.
Wenn Du Dir MT-Firewall ansiehst (auf meiner Homepage), da gibts ein Modul für NFS, die Regeln kannst Du versuchen.
Wie löst man so etwas kunstgerecht, ohne später Überraschungen zu erleben?
Sicher lösen würde ich sowas über ein VLAN via IPSec (ist ausgetestet und hat sich bewährt). -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de --------------------------------------------------------------------- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Manfred Tremmel, Sonntag, 12. November 2006 20:13:
Ich möchte gerne den Zugriff auf einen Rechner im LAN aus dem Internet öffnen. Die Besonderheit in diesem Falle ist, daß dieser Rechner per samba und nfs einen Verzeichnisbaum exportiert, der auf keinen Fall aus dem Internet erreichbar sein soll.
Schlechte Idee.
Dachte ich mir. Allerdings bin ich nicht der einzige, der auf diese Idee gekommen ist - wie ich Deiner Homepage entnehme, exportierst Du auf Deinem Gateway auch per NFS?
Finden konnte ich nur bei samba selbst die Beschränkung der Zugriffe auf ein bestimmtes Netzwerk, bzw. bei NFS die Steuerung via hosts.allow oder hosts.deny. Was ich aber gerne hätte ist, daß schon die Firewall die Zugriffe abfängt, die nicht aus dem LAN kommen.
Wenn Du Dir MT-Firewall ansiehst (auf meiner Homepage), da gibts ein Modul für NFS, die Regeln kannst Du versuchen.
Die hab ich mir gerade gesaugt, und werde sie ansehen.
Wie löst man so etwas kunstgerecht, ohne später Überraschungen zu erleben?
Sicher lösen würde ich sowas über ein VLAN via IPSec (ist ausgetestet und hat sich bewährt).
Also ausgerechnet IPSec... das kann einem den letzten Nerv kosten. Da nehm ich lieber OpenVPN. Trotzdem, das scheint mir für das LAN hier etwas übertrieben, und löst vor allem das Problem nicht, daß ich schon firewallmäßig die Zugriffe auf nfs und samba unterbinden möchte, und nicht erst per hosts.allow/deny usw. -- Andre Tann --------------------------------------------------------------------- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 12. November 2006 21:42 schrieb Andre Tann:
Dachte ich mir. Allerdings bin ich nicht der einzige, der auf diese Idee gekommen ist - wie ich Deiner Homepage entnehme, exportierst Du auf Deinem Gateway auch per NFS?
Nur ins lokale Netz, nicht ins Internet ;-)
Sicher lösen würde ich sowas über ein VLAN via IPSec (ist ausgetestet und hat sich bewährt).
Also ausgerechnet IPSec... das kann einem den letzten Nerv kosten. Da nehm ich lieber OpenVPN.
Naja, IPSec ist halt erprobt, OpenVPN und jede andere VPN Lösung sollte es im Prinzip aber auch tun.
Trotzdem, das scheint mir für das LAN hier etwas übertrieben, und löst vor allem das Problem nicht, daß ich schon firewallmäßig die Zugriffe auf nfs und samba unterbinden möchte, und nicht erst per hosts.allow/deny usw.
VPN ermöglicht immerhin das komplette sperren von NFS und Samba ins Internet hin, die Zugriffe erfolgen dann nur noch übers lokale Netz, bzw. eingeklinkt per VPN von außen (geschützt und verschlüsselt. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de --------------------------------------------------------------------- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Manfred Tremmel, Sonntag, 12. November 2006 23:56:
Dachte ich mir. Allerdings bin ich nicht der einzige, der auf diese Idee gekommen ist - wie ich Deiner Homepage entnehme, exportierst Du auf Deinem Gateway auch per NFS?
Nur ins lokale Netz, nicht ins Internet ;-)
Genau so wollte ich es ja auch handhaben.
VPN ermöglicht immerhin das komplette sperren von NFS und Samba ins Internet hin, die Zugriffe erfolgen dann nur noch übers lokale Netz, bzw. eingeklinkt per VPN von außen (geschützt und verschlüsselt.
Sagen wir es so: VPN fügt der exportierenden Maschine ein zusätzliches Interface hinzu. Das ist der Sicherheitsgewinn in diesem Fall, denn ich kann samba sagen, daß es nur an diesem Interface lauschen soll. Das könnte ich aber auch dadurch erreichen, daß ich ein zweites NIC in den Rechner packe. Damit spare ich mir den VPN-Krams, der mir mE in meinem LAN ohnehin nichts bringt. Und von außen gehe ich per fish rein, das reicht mir, und ich brauche nichts außer einem sshd. -- Andre Tann --------------------------------------------------------------------- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Andre Tann
-
Manfred Tremmel