Einzelnen Windows Rechner von Samba-Zugang ausschließen
Hallo, muss wegen home-office eines Familienangehörigen für einen fremden Rechner den Internetzugang bereitstellen. Im Netzwerk laufen neben DHCPD und Bind auch ein NFS und ein Samba-Server. Dem fremden Rechner möchte ich keinen Zugriff auf die NFS und Samba Server gewähren. Wie kann ich den Zugriff des fremden Rechners auf die server verhindern? System ist ien Leap 15.3. -- Dirk
Am Sonntag, 29. Januar 2023, 15:01:52 CET schrieb Dirk Meier:
Hallo, muss wegen home-office eines Familienangehörigen für einen fremden Rechner den Internetzugang bereitstellen. Im Netzwerk laufen neben DHCPD und Bind auch ein NFS und ein Samba-Server. Dem fremden Rechner möchte ich keinen Zugriff auf die NFS und Samba Server gewähren. Wie kann ich den Zugriff des fremden Rechners auf die server verhindern? System ist ien Leap 15.3.
1. sorge per eintrag in der dhcpd config datei dafür, dass der gast rechner immer die gleiche, fixe IP bekommt. 2. Diese IP kannst du dann im Samba blocken, ebenso in der Konfig vom NFS. Alternativ: richte deinen Samba und den NFS so ein, dass die Security nicht nur über die IP-Adresse geht - Stichwort: kerberos. Cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
On 29.01.23 15:11, Mathias Homann wrote:
Am Sonntag, 29. Januar 2023, 15:01:52 CET schrieb Dirk Meier:
Hallo, muss wegen home-office eines Familienangehörigen für einen fremden Rechner den Internetzugang bereitstellen. Im Netzwerk laufen neben DHCPD und Bind auch ein NFS und ein Samba-Server. Dem fremden Rechner möchte ich keinen Zugriff auf die NFS und Samba Server gewähren. Wie kann ich den Zugriff des fremden Rechners auf die server verhindern? System ist ien Leap 15.3.
1. sorge per eintrag in der dhcpd config datei dafür, dass der gast rechner immer die gleiche, fixe IP bekommt. 2. Diese IP kannst du dann im Samba blocken, ebenso in der Konfig vom NFS.
Das ist trivial zu umgehen, wenn der fremden Rechner nicht vertrauenswürdig ist. Viele Grüße Ulf
Am Sonntag, 29. Januar 2023, 15:57:58 CET schrieb Ulf Volmer:
On 29.01.23 15:11, Mathias Homann wrote:
Am Sonntag, 29. Januar 2023, 15:01:52 CET schrieb Dirk Meier:
Hallo, muss wegen home-office eines Familienangehörigen für einen fremden Rechner den Internetzugang bereitstellen. Im Netzwerk laufen neben DHCPD und Bind auch ein NFS und ein Samba-Server. Dem fremden Rechner möchte ich keinen Zugriff auf die NFS und Samba Server gewähren. Wie kann ich den Zugriff des fremden Rechners auf die server verhindern? System ist ien Leap 15.3.
1. sorge per eintrag in der dhcpd config datei dafür, dass der gast rechner immer die gleiche, fixe IP bekommt. 2. Diese IP kannst du dann im Samba blocken, ebenso in der Konfig vom NFS.
Das ist trivial zu umgehen, wenn der fremden Rechner nicht vertrauenswürdig ist.
In diesem Fall hier geht es um einen Familienangehörigen - wenn DER nicht "Vertrauenswürdig" ist liegt hier ein ganz anderes Problem vor - und keins was mit Mitteln der IT zu lösen ist... -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
On 29.01.23 16:36, Mathias Homann wrote:
Am Sonntag, 29. Januar 2023, 15:57:58 CET schrieb Ulf Volmer:
On 29.01.23 15:11, Mathias Homann wrote:
Am Sonntag, 29. Januar 2023, 15:01:52 CET schrieb Dirk Meier:
Hallo, muss wegen home-office eines Familienangehörigen für einen fremden Rechner
[snip]
Das ist trivial zu umgehen, wenn der fremden Rechner nicht vertrauenswürdig ist.
In diesem Fall hier geht es um einen Familienangehörigen - wenn DER nicht "Vertrauenswürdig" ist liegt hier ein ganz anderes Problem vor - und keins was mit Mitteln der IT zu lösen ist...
Der Familienangehörige wird wohl vertrauenswürdig sein, sein Arbeitgeber evtl. weniger. Sonst hätte sich die Frage des OP vermutlich nicht gestellt. Viele Grüße Ulf
Am Sonntag, 29. Januar 2023, 15:01:52 CET schrieb Dirk Meier:
Hallo, muss wegen home-office eines Familienangehörigen für einen fremden Rechner den Internetzugang bereitstellen. Im Netzwerk laufen neben DHCPD und Bind auch ein NFS und ein Samba-Server. Dem fremden Rechner möchte ich keinen Zugriff auf die NFS und Samba Server gewähren. Wie kann ich den Zugriff des fremden Rechners auf die server verhindern? System ist ien Leap 15.3.
Anderer Ansatz: Home Office ist ja meisstens ein Laptop, oder? Richte auf deinem WLAN ein Gäste-WLan ein und lass den Zugriff vom Guest-WLan auf interne adressen nicht zu. Wie das zu machen ist hängt vom Accesspoint ab. -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Danke für eure Tips. Der Familienangehörige ist natürlich vertrauenswürdig. Auf dem Laptop ist jedoch eine Fernzugangsoftware installiert, die ich nicht kenne und daher auch nicht weiß welche Möglichkeiten die bietet. Der Laptop ist kabelgebunden ins Netzwerk eingebunden. Daher scheint mir das Verbot der IP Adressen durchaus funktionell zu sein. Kerberos wäre sicherlich besser, aber für die Grundlagen habe ich im Moment keine Zeit. Zumal ich dem AG keine kriminelle Absicht unterstelle, lediglich Neugier bei Langerweile. Die IP wird über eigenen dhcpd immer gleich zugewiesen. Kann mir vielleicht noch jemand die beiden Verbotsbefehle für samba und nfs nennen. -- Gruß Dirk
Wenn Du eine Fritz!Box hast, kannst du in der Fritz!Box auf LAN4 einen Gastzugang legen, dann bekommt der Rechner eine IP aus einer separaten IP-Range und hat dann keinen Zugriff mehr auf Adressen in deinem Heimnetz. Joachim Weber, Bonn Retired IT-Dinosaurier PC Hilfe/Notdienst und IT-Consulting (z/OS und Linux) Am 30.01.23 um 23:24 schrieb Dirk Meier:
Danke für eure Tips. Der Familienangehörige ist natürlich vertrauenswürdig. Auf dem Laptop ist jedoch eine Fernzugangsoftware installiert, die ich nicht kenne und daher auch nicht weiß welche Möglichkeiten die bietet. Der Laptop ist kabelgebunden ins Netzwerk eingebunden. Daher scheint mir das Verbot der IP Adressen durchaus funktionell zu sein. Kerberos wäre sicherlich besser, aber für die Grundlagen habe ich im Moment keine Zeit. Zumal ich dem AG keine kriminelle Absicht unterstelle, lediglich Neugier bei Langerweile. Die IP wird über eigenen dhcpd immer gleich zugewiesen. Kann mir vielleicht noch jemand die beiden Verbotsbefehle für samba und nfs nennen.
participants (4)
-
Dirk Meier -
Joachim Weber -
Mathias Homann -
Ulf Volmer