Samba auf Netzwerk festlegen/FTP abschalten

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

S.Oliver

Neuer User
Mitglied seit
14 Jun 2006
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
:huhu:

da ich hier alle meine Daten auf großen Raids in einem Fileserver habe und ich auf diese im Netzwerk zugreifen kann, sollen diese Daten geschützt werden. Dazu habe ich diese mit 4kb großen keyfiles verschlüsselt (Twofish256) und diese auf den USB Stick an meiner 7170 gelegt.

In der Firewall habe ich alle IP Adressen auf Mac Adressen festgelegt. Der DHCP ist abgeschaltet. Das Wlan hat eine eigene IP Range und alles ist WPA2 verschlüsselt (63 stelliger Randomkey). Ausserdem kann ein Zugriff auf den Fileserver nur mit den richtigem User/Pass durchgeführt werden und nur aus 2 IP Ranges. Insgesamt ist als das Netzwerk (vor allem das Wlan) also recht sicher.

Beim Booten wird der USB Stick per smbfs auf dem Fileserver gemountet und mit den Files die Platten gemountet. Soweit so gut. Allerdings kann man auch per Wlan auf den USB Stick zugreifen, was ich persönlich arg blöd finde. Also habe ich versucht die Zeilen

Code: 
        hosts allow = 192.168.16.0/24
        hosts deny = 0.0.0.0/0

in der smb_conf hinzu zu fügen, um damit das Wlan generell auszuschliessen und nur die Rechner im LAN zu erlauben. Danach sagt mir allerdings Samba, dass er mich generell nicht mehr mag, sprich ich bekomme eine Ablehnung, dass der Zugriff nicht möglich ist.

Ausserdem könnte man immer noch per FTP darauf zugreifen, was für mich auch nicht akzeptabel ist, weil die Verbindung recht unsicher ist. Wenn ich Daten austauschen möchte, kann ich das ja auch per Samba oder fish machen.

Also ergeben sich aus der Geschichte zwei Fragen:
1.) Wie bring ich dem Sambaserver auf der fritzbox bei, nur bestimmte IPs/IP Ranges zu akzeptieren?
2.) Wie schalte ich den FTP auf der Fritzbox dauerhaft ab?

:habenwol:

Danke für jede Hilfe. :)
 
zu 1. Vielleicht hilft es, statt alles zu blockieren, nur den WLAN-Adressbereich bei hosts deny anzugeben?

zu 2. "killall -9 ftpd" tötet den ftp-Server auf der Box. Damit man das nicht immer von Hand eingeben muss könnte man es ans Ende der debug.cfg setzen. Allerdings muss man probieren, ob evtl. vorher ein sleep mit rein muss - ggf. ist die debug.cfg schon abgearbeitet, bevor der ftpd überhaupt läuft.

Gruß,
Kay.
 
Ist es nicht normalerweise so, dass man den default auf deny setzt un dann durch allow diese IP's ausnimmt?
Ich kenn mich da nicht so aus, aber so wie du das oben hingeschrieben hast ist doch klar, dass alles verboten wird, oder?
Ich würde den ftpd in der ar7.cfg abschalten. Aber vielleicht gibts da Leute die einen besseren Tip haben.
edit: Hm ich dachte das geht, naja dann halt nicht...

MfG Oliver
 
Zuletzt bearbeitet:
kay1234 schrieb:
zu 1. Vielleicht hilft es, statt alles zu blockieren, nur den WLAN-Adressbereich bei hosts deny anzugeben?
Zum Vergrößern anklicken....
Interessanterweise hat die Zeile deny hosts = 192.168.7.0/24 überhaupt keine Auswirkungen. Ich kann trotzdem wie gewohnt (aber nicht erwünscht) über das Wlan auf den USB zugreifen. :confused:

kay1234 schrieb:
zu 2. "killall -9 ftpd" tötet den ftp-Server auf der Box. Damit man das nicht immer von Hand eingeben muss könnte man es ans Ende der debug.cfg setzen.
Zum Vergrößern anklicken....
Ich habe es jetzt erstmal über einen Cronjob gelöst, aber da find ich noch was besseres. Über die ar7.cfg kann ich den ftpd nicht abstellen. :noidea:

// Edit:
Also weder hosts allow, noch hosts deny funktioniert. Das binden an ein Interface funktioniert genau so wenig. Tja, damit gehen mir dann etwas die Ideen aus.
 
Zuletzt bearbeitet:
olistudent schrieb:
Ist es nicht normalerweise so, dass man den default auf deny setzt un dann durch allow diese IP's ausnimmt?
Zum Vergrößern anklicken....
Bei einer Firewall ja, nur bei Samba ist das egal. Man kann diese zwei Parameter in der smb.conf nur pro Freigabe genau einmal verwenden. Es wird dann alles verboten, was bei deny steht und alles erlaubt, was bei allow steht - unabhängig von der Reihenfolge. Man kann mehrere Adressen oder Bereiche als Liste übergeben, falls man mit einem nicht auskommt.

Komisch, dass es bei der Fritz nicht funktioniert. Ist das etwa auf der Box nicht implementiert? Kann ich mir kaum vorstellen. Vielleicht mal in die Doku dieser speziellen Version schauen...

Gruß,
Kay
 
Was für ne Doku? :noidea:

Also folgende Methode funktioniert:
Alle sperren mit hosts deny=0.0.0.0/24
eine IP freigeben mit hosts allow=192.168.16.20

keine andere Version, die ich probiert habe, funktionierte auch nur annähernd. Wenn ich in der hosts deny einzelne ip ranges sperre, kann aus genau dieser iprange drauf zugreifen. Wenn ich einzelne IPs sperre nutzt das garnix und wenn ich eine Range freigebe, hat wieder jeder Zugriff. :confused:

Ausserdem funktioniert diese Konfiguration auch nicht:
Code: 
interfaces=eth0
bind interfaces only = yes
Warum? Zugriff ist auch über die Schnittstelle WLAN möglich und im Syslog steht auch nichts. *schulter-zuck*

Mein konkretes Problem ist zwar gelöst, allerdings sollte samba von Haus aus eigentlich mehr können. Im Syslog findet sich folgendes, sobald der Zugriff verweigert wurde.

Code: 
Jul 28 04:37:07 fritz daemon.err smbd[3693]: [2006/07/28 04:37:07, 0] lib/access.c:check_access(262) 
Jul 28 04:37:07 fritz daemon.err smbd[3693]:   Denied connection from xp.lan (192.168.2.21)

Evtl. kann damit ja jemand was anfangen. Wenn ich mal ganz viel Muße und Zeit hab und sonst keiner eine Idee dazu hat, versuche ich das Paket nochmal neu zu kompilieren. bei der Gelegenheit, warum ist eigentlich das Sambapaket so alt (und mit kritischen Sicherheitslücken)? Gibt es da Probleme mit neueren Versionen?
 
Kann es sein, dass die lan-Bridge da Probleme macht?
Hast du den Interfaces mal verschiedene IP's gegeben?
Wahrscheinlich schon, sonst wäre das ganze ja ziemlich sinnlos. :gruebel:

MfG Oliver
 
Die Bridge dürfte keine Probleme machen, weil eth0 nunmal die Netzwerkkarte von der fritz.box ist.

Code: 
# ifconfig
...

eth0      Link encap:Ethernet  HWaddr 00:15:0C:52:B1:CC
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:4669475 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4686681 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:2032884122 (1.8 GiB)  TX bytes:2363465166 (2.2 GiB)

...

Wenn ich alles an eth0 binde, sollte auch nur ein Zugriff über eth0 möglich sein. Wlan und DSL sind ja eigene Schnittstellen. Ich habe ja auf meinem Fileserver genau die gleiche Konfiguration (Zugriff an eth0 gebunden, hosts deny = 0.0.0.0/24, hosts allow = 192.168.2.0/24) und da funktioniert es.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 518 (Mitglieder: 28, Gäste: 490)

Neueste Beiträge

Statistik des Forums

Themen
244,857
Beiträge
2,219,607
Mitglieder
371,571
Neuestes Mitglied
FritzFunk
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück