Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Firewall für Samba

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Thommy345
Newbie
Newbie
Beiträge: 38
Registriert: 23. Dez 2006, 17:50

Firewall für Samba

Beitrag von Thommy345 » 17. Jan 2007, 15:56

Hallo zusammen,

habe einen SUSE 10.2 Rechner auf dem Samba läuft, dazu noch zwei WinXP Rechner die auf Samba zugreifen.
Alle Rechner hängen an einem Router, dieser hängt wiederum an einer Fritzbox.
Jetzt möchte ich Sicherstellen das von "außen" keiner auf den Samba-Server zugreifen kann (läuft ja immer).
Mails über Konsole nach außen sollte aber noch möglich sein (Meldungen vom Samba-Server an externe Mailadresse).

Muß die Firewall jetzt speziell eingerichtet sein? Oder reicht die Standardeinstellung aus?
Ist eine Firewall hinter Router und Fritzbox überhaupt noch nötig?

Gruß
Thommy345

Werbung:
pft
Advanced Hacker
Advanced Hacker
Beiträge: 843
Registriert: 22. Dez 2004, 13:01

Beitrag von pft » 17. Jan 2007, 16:20

aber sicher ist die notwendig!
und selbst wenn im router oder der fritzbox schon eine drin wäre, würde ich mich nicht drauf verlassen,bzw. eine mehr ist immer gut.

von wegen konfiguration. Alle Rechner - clients wie Server hängen am gleichen Router?
Das ist blöd. Mach den Server auch zum Router dann wird es leichter, da du internen und externen traffic einfach durch das HW-interface differenzieren kannst. Ausserdem schützt die Firewall dann nicht nur den Server sondern auch die Clients.

In deiner jetzigen konfiguration mußt Du das wohl über IP Adressen machen.
Also allen incoming traffic blocken ausser von internen / privaten IPs.
Schau mal das config-skript der Firewall an. Ich hab das grad nicht im Kopp.
War glaub ich so was wie /etc/sysconfig/Susefirewall oder so ähnlich
Sagt der Porsche bei 250 km/h zu seinem Fahrer: "Ich kann noch mehr - Du auch?"
... Ich hab zwar keinen Porsche aber dafür Linux

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4270
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 17. Jan 2007, 18:11

pft hat geschrieben:...und selbst wenn im router oder der fritzbox schon eine drin wäre, würde ich mich nicht drauf verlassen,bzw. eine mehr ist immer gut....
Sehe ich nicht so. Es sollte nur eine Stelle geben wo kontrolliert werden. Ansonsten kann das einen Wildwuchs geben den keiner mehr durchblickt. Und eine FW sollte kein Wildwuchs sein.

Deshalb meine Empfehlung: Konfiguriere den Router so, wie es notwendig ist. Dazu musst Du das Handbuch lesen und danach z.B. mit nmap (von Aussen!) pruefen welche Ports offen sind, denn dadurch schützt Du gleich ALLE Clients in Deinem Netz. Ansonsten mußt Du entweder auf allen Clients FWs konfigurieren oder z.B. den Linuxrechner als Router und FW einsetzen und daran die anderen Clients anschliessen. Ist aber alles zu umständlich.

Und so wie ich das verstehe willst Du dass keiner bei Dir reinkommt aber alle Clients rauskommen. Das sollte recht einfach in dem Router einstellbar sein. Einfach nur allen von aussen initiierten Inboundtraffic blocken. Nur keine Adressen durchreichen (DNAT)! SNAT schützt schon alle Clients von aussen.

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 18. Jan 2007, 12:14

Sofern besagte Fritzbox alles auf den Linux-Rechner leitet (wird "DMZ" bei den meisten Routern genannt auch wenn's nicht ganz richtig ist), reicht's, dort die FW zu betreiben.

Thommy345
Newbie
Newbie
Beiträge: 38
Registriert: 23. Dez 2006, 17:50

Beitrag von Thommy345 » 18. Jan 2007, 19:59

OK, danke.
Werde dann wohl mal den Router Dicht machen und einen Portscan laufen lassen...

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4270
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 18. Jan 2007, 20:20

Thommy345 hat geschrieben:OK, danke.
Werde dann wohl mal den Router Dicht machen und einen Portscan laufen lassen...
Eigentlich reicht das Dichtmachen. Aber auch ich würde an Deiner Stelle auch noch einmal sehen wollen daß wirklich alles von außen dicht ist :D

Wichtig: nmap nicht aus Deinem lokalen Netz machen! Das gibt falsche Ergebnisse. Vielleicht hast Du ja einen Kumpel der das für Dich von seinem PC aus machen kann.

useher
Member
Member
Beiträge: 138
Registriert: 2. Nov 2005, 14:55

Beitrag von useher » 18. Jan 2007, 23:58

Ich hab so was ähnliches am laufen. Ein smc-Router, daran hägt mein Homeserver und 2-3 Clients. Der Router leitet Port 80, 22 und den torport an den Server weiter und blockt den Rest von aussen. Intern laufen dann Samba, Postgres, Zope etc z.T auch nur an localhost gebunden etc. Auf dem Server läuft noch extra eine Firewall. Funktioniert ganz gut bisher.

Gruß Uwe
------------------------------------------------------------------
The louder you scream, the faster we go
------------------------------------------------------------------

Antworten