N
noiz
Pinguin-Pfleger
Hallo!
Folgendes Szenario:
Auf einem Server der über eth0 ("extern") mit dem Internet verbunden ist (Debian Rootserver) läuft ein openVPN-Server der an ein tap-Device für das VPN gebunden ist. ("intern") Das tap-Device hat ein eigenes Subnet. Auf dem Rootserver sollen alles Dienste (WWW, SMB, SQL) nur innerhalb des VPN-Netzes verfügbar sein. Mit Apache geht das auch vorzüglich. Nur Samba sperrt sich gegen alle meine Versuche, den Server-Prozess an ein einziges Netzwerkinterface zu binden.
Ich kenne innerhalb der smb.conf die folgenden Direktiven, die eigentlich genau dieses Verhalten ermöglichen sollen:
# Auschnitt aus der smb.conf
interfaces = tap0
bind interfaces only = yes
Trotzdem habe ich das Problem das nach einen Start des daemons, sowohl an dem (internen) als auch an dem externen Interface jeweils die beiden Samba-Daemons gebunden sind (Kontrolliert mir netstat -lap) und die Sambashares auch nach "außen" ins "böse" Internet verfügbar gemacht werden.
Ich habe jetzt schon versucht durch eine Firewall die Ports nach außen abzudichten, aber Firewall und Rootserver... Das ist wieder ein anderes Thema. Mich stört daran ganz besonders, dass wenn die Firewall aus irgend einem Grund ausfällt plötzlich alle Shares im Internet verfügbar sind.
Außerdem kann ich es nicht riskieren, dass ich nur eine Zugangskontrolle mir allow- und deny-Direktiven pflege, da dann trotzdem die Samba-Ports nach außen offen sind und jemanden der per Portscanner den Server abklopft sicher aufmerksam werden könnte. Zudem will ich so wenig wie möglich Dienste nach außen im Netz verfügbar sehen (Am besten nur VPN und SSH zuer Fernwartung)
Hat hier vielleicht noch jemand eine Idee wie das gewünschte Verhalten zu realisieren ist. Noch mal als Zusammenfassung: Samba im VPN: ja! Außerhalb davon: Nein!
Ja, im Netz habe ich schon gesucht, bin wohl auch nicht der einzige, der das Problem hat. (Siehe hier: http://atm.tut.fi/list-archive/debian-security/msg07821.html)
In der Hoffnung, dass mir hier jemand helfen kann!
Grüße
Nico
Folgendes Szenario:
Auf einem Server der über eth0 ("extern") mit dem Internet verbunden ist (Debian Rootserver) läuft ein openVPN-Server der an ein tap-Device für das VPN gebunden ist. ("intern") Das tap-Device hat ein eigenes Subnet. Auf dem Rootserver sollen alles Dienste (WWW, SMB, SQL) nur innerhalb des VPN-Netzes verfügbar sein. Mit Apache geht das auch vorzüglich. Nur Samba sperrt sich gegen alle meine Versuche, den Server-Prozess an ein einziges Netzwerkinterface zu binden.
Ich kenne innerhalb der smb.conf die folgenden Direktiven, die eigentlich genau dieses Verhalten ermöglichen sollen:
# Auschnitt aus der smb.conf
interfaces = tap0
bind interfaces only = yes
Trotzdem habe ich das Problem das nach einen Start des daemons, sowohl an dem (internen) als auch an dem externen Interface jeweils die beiden Samba-Daemons gebunden sind (Kontrolliert mir netstat -lap) und die Sambashares auch nach "außen" ins "böse" Internet verfügbar gemacht werden.
Ich habe jetzt schon versucht durch eine Firewall die Ports nach außen abzudichten, aber Firewall und Rootserver... Das ist wieder ein anderes Thema. Mich stört daran ganz besonders, dass wenn die Firewall aus irgend einem Grund ausfällt plötzlich alle Shares im Internet verfügbar sind.
Außerdem kann ich es nicht riskieren, dass ich nur eine Zugangskontrolle mir allow- und deny-Direktiven pflege, da dann trotzdem die Samba-Ports nach außen offen sind und jemanden der per Portscanner den Server abklopft sicher aufmerksam werden könnte. Zudem will ich so wenig wie möglich Dienste nach außen im Netz verfügbar sehen (Am besten nur VPN und SSH zuer Fernwartung)
Hat hier vielleicht noch jemand eine Idee wie das gewünschte Verhalten zu realisieren ist. Noch mal als Zusammenfassung: Samba im VPN: ja! Außerhalb davon: Nein!
Ja, im Netz habe ich schon gesucht, bin wohl auch nicht der einzige, der das Problem hat. (Siehe hier: http://atm.tut.fi/list-archive/debian-security/msg07821.html)
In der Hoffnung, dass mir hier jemand helfen kann!
Grüße
Nico
