multi-homed Server nur an ein spezifisches Netzwerkinterface?

Diskutiere multi-homed Server nur an ein spezifisches Netzwerkinterface? im Samba Forum im Bereich Netzwerke & Serverdienste; Hallo! Folgendes Szenario: Auf einem Server der über eth0 ("extern") mit dem Internet verbunden ist (Debian Rootserver) läuft ein...

  1. noiz

    noiz Pinguin-Pfleger

    Dabei seit:
    27.02.2008
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo!

    Folgendes Szenario:

    Auf einem Server der über eth0 ("extern") mit dem Internet verbunden ist (Debian Rootserver) läuft ein openVPN-Server der an ein tap-Device für das VPN gebunden ist. ("intern") Das tap-Device hat ein eigenes Subnet. Auf dem Rootserver sollen alles Dienste (WWW, SMB, SQL) nur innerhalb des VPN-Netzes verfügbar sein. Mit Apache geht das auch vorzüglich. Nur Samba sperrt sich gegen alle meine Versuche, den Server-Prozess an ein einziges Netzwerkinterface zu binden.

    Ich kenne innerhalb der smb.conf die folgenden Direktiven, die eigentlich genau dieses Verhalten ermöglichen sollen:

    # Auschnitt aus der smb.conf

    interfaces = tap0
    bind interfaces only = yes


    Trotzdem habe ich das Problem das nach einen Start des daemons, sowohl an dem (internen) als auch an dem externen Interface jeweils die beiden Samba-Daemons gebunden sind (Kontrolliert mir netstat -lap) und die Sambashares auch nach "außen" ins "böse" Internet verfügbar gemacht werden.

    Ich habe jetzt schon versucht durch eine Firewall die Ports nach außen abzudichten, aber Firewall und Rootserver... Das ist wieder ein anderes Thema. Mich stört daran ganz besonders, dass wenn die Firewall aus irgend einem Grund ausfällt plötzlich alle Shares im Internet verfügbar sind.

    Außerdem kann ich es nicht riskieren, dass ich nur eine Zugangskontrolle mir allow- und deny-Direktiven pflege, da dann trotzdem die Samba-Ports nach außen offen sind und jemanden der per Portscanner den Server abklopft sicher aufmerksam werden könnte. Zudem will ich so wenig wie möglich Dienste nach außen im Netz verfügbar sehen (Am besten nur VPN und SSH zuer Fernwartung)

    Hat hier vielleicht noch jemand eine Idee wie das gewünschte Verhalten zu realisieren ist. Noch mal als Zusammenfassung: Samba im VPN: ja! Außerhalb davon: Nein!

    Ja, im Netz habe ich schon gesucht, bin wohl auch nicht der einzige, der das Problem hat. (Siehe hier: http://atm.tut.fi/list-archive/debian-security/msg07821.html)

    In der Hoffnung, dass mir hier jemand helfen kann!

    Grüße

    Nico
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Parameter:
    interfaces = IP DES SUBNETZES

    Damit kannst du Samba an ein IP-Netz binden.

    Hoffentlich hilfts.
     
  4. noiz

    noiz Pinguin-Pfleger

    Dabei seit:
    27.02.2008
    Beiträge:
    7
    Zustimmungen:
    0
    interfaces = tap0 und interfaces = ww.xx.yy.zz haben den gleichen effekt. in der regel hat man ja an ein interface nur eine ip gebunden oder?

    Grüße

    Nico
     
  5. #4 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Nein. Ich habe auch ein Interface aber viele IPs an selbiges gebunden.

    Aber wenn du nur eine IP pro Interface hast, dann bringt dich das nicht weiter. Ich überlege mal weiter. Notfalls musst du halt deine Firewall anpassen.
     
  6. noiz

    noiz Pinguin-Pfleger

    Dabei seit:
    27.02.2008
    Beiträge:
    7
    Zustimmungen:
    0
    Problem schon von anderer Seite gelöst:

    Für die Forumssuche:

    Samba an nur ein spezielles Inteface binden:

    interfaces = $name_des_interface
    bind interfaces only = true
    socket address = $ip_des_interfaces

    Thread damit als gelöst markiert!

    Trotdem danke!

    Grüße

    Nico
     
Thema:

multi-homed Server nur an ein spezifisches Netzwerkinterface?

Die Seite wird geladen...

multi-homed Server nur an ein spezifisches Netzwerkinterface? - Ähnliche Themen

  1. Erstes modernes Server-Mainboard kompatibel mit Coreboot

    Erstes modernes Server-Mainboard kompatibel mit Coreboot: Das Supermicro-Mainboard X11SSH-TF ist das erste moderne Server-Mainboard, dass UEFI mit Coreboot ersetzt. Damit kann das Board Linux mit der...
  2. SQL Server 2017: Microsoft empfiehlt Linux

    SQL Server 2017: Microsoft empfiehlt Linux: In einer Auflistung der der Unternehmensseite erklärt Microsoft die 10 Gründe, warum die eigenen Kunden den SQL Server 2017 unter Linux nutzen...
  3. Univention Corporate Server 4.4.1 freigegeben

    Univention Corporate Server 4.4.1 freigegeben: Der Linux-Distributor Univention hat die erste Aktualisierung seiner Unternehmens-Linux-Distribution Univention Corporate Server (UCS) 4.4...
  4. SKS-Keyserver-Netzwerk in Bedrängnis

    SKS-Keyserver-Netzwerk in Bedrängnis: Das SKS-Keyserver-Netzwerk und damit auch OpenPGP-Implementationen wie GnuPG sind anfällig für Angriffe, die eine große Zahl von Signaturen oder...
  5. Cloud Server einrichtung

    Cloud Server einrichtung: Hallo Freunde, ich bin sehr frisch in euerem forum und würde mal linux besser kennenlernen durch euch;-) Wozu ich mich im moment interessiere...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden