• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Firewall für Samba

T

Thommy345

Newbie
Hallo zusammen,

habe einen SUSE 10.2 Rechner auf dem Samba läuft, dazu noch zwei WinXP Rechner die auf Samba zugreifen.
Alle Rechner hängen an einem Router, dieser hängt wiederum an einer Fritzbox.
Jetzt möchte ich Sicherstellen das von "außen" keiner auf den Samba-Server zugreifen kann (läuft ja immer).
Mails über Konsole nach außen sollte aber noch möglich sein (Meldungen vom Samba-Server an externe Mailadresse).

Muß die Firewall jetzt speziell eingerichtet sein? Oder reicht die Standardeinstellung aus?
Ist eine Firewall hinter Router und Fritzbox überhaupt noch nötig?

Gruß
Thommy345
 
P

pft

Advanced Hacker
aber sicher ist die notwendig!
und selbst wenn im router oder der fritzbox schon eine drin wäre, würde ich mich nicht drauf verlassen,bzw. eine mehr ist immer gut.

von wegen konfiguration. Alle Rechner - clients wie Server hängen am gleichen Router?
Das ist blöd. Mach den Server auch zum Router dann wird es leichter, da du internen und externen traffic einfach durch das HW-interface differenzieren kannst. Ausserdem schützt die Firewall dann nicht nur den Server sondern auch die Clients.

In deiner jetzigen konfiguration mußt Du das wohl über IP Adressen machen.
Also allen incoming traffic blocken ausser von internen / privaten IPs.
Schau mal das config-skript der Firewall an. Ich hab das grad nicht im Kopp.
War glaub ich so was wie /etc/sysconfig/Susefirewall oder so ähnlich
 
framp

framp

Moderator
Teammitglied
pft schrieb:
...und selbst wenn im router oder der fritzbox schon eine drin wäre, würde ich mich nicht drauf verlassen,bzw. eine mehr ist immer gut....
Zum Vergrößern anklicken....

Sehe ich nicht so. Es sollte nur eine Stelle geben wo kontrolliert werden. Ansonsten kann das einen Wildwuchs geben den keiner mehr durchblickt. Und eine FW sollte kein Wildwuchs sein.

Deshalb meine Empfehlung: Konfiguriere den Router so, wie es notwendig ist. Dazu musst Du das Handbuch lesen und danach z.B. mit nmap (von Aussen!) pruefen welche Ports offen sind, denn dadurch schützt Du gleich ALLE Clients in Deinem Netz. Ansonsten mußt Du entweder auf allen Clients FWs konfigurieren oder z.B. den Linuxrechner als Router und FW einsetzen und daran die anderen Clients anschliessen. Ist aber alles zu umständlich.

Und so wie ich das verstehe willst Du dass keiner bei Dir reinkommt aber alle Clients rauskommen. Das sollte recht einfach in dem Router einstellbar sein. Einfach nur allen von aussen initiierten Inboundtraffic blocken. Nur keine Adressen durchreichen (DNAT)! SNAT schützt schon alle Clients von aussen.
 
J

jengelh

Guru
Sofern besagte Fritzbox alles auf den Linux-Rechner leitet (wird "DMZ" bei den meisten Routern genannt auch wenn's nicht ganz richtig ist), reicht's, dort die FW zu betreiben.
 
framp

framp

Moderator
Teammitglied
Thommy345 schrieb:
OK, danke.
Werde dann wohl mal den Router Dicht machen und einen Portscan laufen lassen...
Zum Vergrößern anklicken....
Eigentlich reicht das Dichtmachen. Aber auch ich würde an Deiner Stelle auch noch einmal sehen wollen daß wirklich alles von außen dicht ist :D

Wichtig: nmap nicht aus Deinem lokalen Netz machen! Das gibt falsche Ergebnisse. Vielleicht hast Du ja einen Kumpel der das für Dich von seinem PC aus machen kann.
 
U

useher

Member
Ich hab so was ähnliches am laufen. Ein smc-Router, daran hägt mein Homeserver und 2-3 Clients. Der Router leitet Port 80, 22 und den torport an den Server weiter und blockt den Rest von aussen. Intern laufen dann Samba, Postgres, Zope etc z.T auch nur an localhost gebunden etc. Auf dem Server läuft noch extra eine Firewall. Funktioniert ganz gut bisher.

Gruß Uwe
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben