multi-homed Server nur an ein spezifisches Netzwerkinterface?

Diskutiere multi-homed Server nur an ein spezifisches Netzwerkinterface? im Samba Forum im Bereich Netzwerke & Serverdienste; Hallo! Folgendes Szenario: Auf einem Server der über eth0 ("extern") mit dem Internet verbunden ist (Debian Rootserver) läuft ein...

  1. noiz

    noiz Pinguin-Pfleger

    Dabei seit:
    27.02.2008
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo!

    Folgendes Szenario:

    Auf einem Server der über eth0 ("extern") mit dem Internet verbunden ist (Debian Rootserver) läuft ein openVPN-Server der an ein tap-Device für das VPN gebunden ist. ("intern") Das tap-Device hat ein eigenes Subnet. Auf dem Rootserver sollen alles Dienste (WWW, SMB, SQL) nur innerhalb des VPN-Netzes verfügbar sein. Mit Apache geht das auch vorzüglich. Nur Samba sperrt sich gegen alle meine Versuche, den Server-Prozess an ein einziges Netzwerkinterface zu binden.

    Ich kenne innerhalb der smb.conf die folgenden Direktiven, die eigentlich genau dieses Verhalten ermöglichen sollen:

    # Auschnitt aus der smb.conf

    interfaces = tap0
    bind interfaces only = yes


    Trotzdem habe ich das Problem das nach einen Start des daemons, sowohl an dem (internen) als auch an dem externen Interface jeweils die beiden Samba-Daemons gebunden sind (Kontrolliert mir netstat -lap) und die Sambashares auch nach "außen" ins "böse" Internet verfügbar gemacht werden.

    Ich habe jetzt schon versucht durch eine Firewall die Ports nach außen abzudichten, aber Firewall und Rootserver... Das ist wieder ein anderes Thema. Mich stört daran ganz besonders, dass wenn die Firewall aus irgend einem Grund ausfällt plötzlich alle Shares im Internet verfügbar sind.

    Außerdem kann ich es nicht riskieren, dass ich nur eine Zugangskontrolle mir allow- und deny-Direktiven pflege, da dann trotzdem die Samba-Ports nach außen offen sind und jemanden der per Portscanner den Server abklopft sicher aufmerksam werden könnte. Zudem will ich so wenig wie möglich Dienste nach außen im Netz verfügbar sehen (Am besten nur VPN und SSH zuer Fernwartung)

    Hat hier vielleicht noch jemand eine Idee wie das gewünschte Verhalten zu realisieren ist. Noch mal als Zusammenfassung: Samba im VPN: ja! Außerhalb davon: Nein!

    Ja, im Netz habe ich schon gesucht, bin wohl auch nicht der einzige, der das Problem hat. (Siehe hier: http://atm.tut.fi/list-archive/debian-security/msg07821.html)

    In der Hoffnung, dass mir hier jemand helfen kann!

    Grüße

    Nico
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Parameter:
    interfaces = IP DES SUBNETZES

    Damit kannst du Samba an ein IP-Netz binden.

    Hoffentlich hilfts.
     
  4. noiz

    noiz Pinguin-Pfleger

    Dabei seit:
    27.02.2008
    Beiträge:
    7
    Zustimmungen:
    0
    interfaces = tap0 und interfaces = ww.xx.yy.zz haben den gleichen effekt. in der regel hat man ja an ein interface nur eine ip gebunden oder?

    Grüße

    Nico
     
  5. #4 serverzeit.de, 27.02.2008
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Nein. Ich habe auch ein Interface aber viele IPs an selbiges gebunden.

    Aber wenn du nur eine IP pro Interface hast, dann bringt dich das nicht weiter. Ich überlege mal weiter. Notfalls musst du halt deine Firewall anpassen.
     
  6. noiz

    noiz Pinguin-Pfleger

    Dabei seit:
    27.02.2008
    Beiträge:
    7
    Zustimmungen:
    0
    Problem schon von anderer Seite gelöst:

    Für die Forumssuche:

    Samba an nur ein spezielles Inteface binden:

    interfaces = $name_des_interface
    bind interfaces only = true
    socket address = $ip_des_interfaces

    Thread damit als gelöst markiert!

    Trotdem danke!

    Grüße

    Nico
     
Thema:

multi-homed Server nur an ein spezifisches Netzwerkinterface?

Die Seite wird geladen...

multi-homed Server nur an ein spezifisches Netzwerkinterface? - Ähnliche Themen

  1. Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

    Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne): Hallo, ich möchte eine Active Directory Domäne mit Samba4 erzeugen. Es handelt sich um zwei Server(Domänencontroller und Fileserver) und ca. 10...
  2. [SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.

    [SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.: Hallo zusammen, ich habe auf einem XenServer (CentOS 7) einen Samba Server installiert und eingerichtet. Ich habe auch entsprechende Regeln in...
  3. Image erstellen per dd und direkt auf FTP Backup Server speichern

    Image erstellen per dd und direkt auf FTP Backup Server speichern: Image erstellen per dd und direkt auf FTP Backup Server speichern Hallo, ich würde gern von meinem OVH Server ein Image erstellen. Da ja die...
  4. suche lightweight ftp server mit user management

    suche lightweight ftp server mit user management: Hallo Suche ein lightweight ftp server mit user management kenne nur Drftpd der separat vom system die accounts erstellt. gibt es sowas auch in...
  5. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...