Samba an spezielles Interface binden.

[noiz]

Hallo!
Habe folgendes Problem: Auf einem Rootserver im Internet läuft ein VPN-Gateway mit dem sich über DSL verschiedene Windows-Clients verbinden. Freigaben sollen auf dem Rootserver per Samba bereitgestellt werden. Das Problem ist, dass ich Samba nicht an das tap-Device des openVPN-Servers gebindet bekomme. Soweit ich das verstanden habe sind dafür doch eigentlich nur die Einträge

interfaces = 10.0.0.1/8 tap0
bind interfaces only = Yes

notwendig, oder liege ich da total falsch? Das Problem ist nämlich folgendes: Ich habe jetzt zwar von der Client-Seite aus Zugriff auf den Sambaserver, sehe ihn sogar in der Netzwerkumgebung und kann ihn direkt über die private VPN-IP des Rootservers erreichen aber ein netstat -lap offenbart mir folgendes:

Code: Select all

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost:netbios-ssn   *:*                     LISTEN      14279/smbd
tcp        0      0 localhost:microsoft-ds  *:*                     LISTEN      14279/smbd
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      13163/sshd
udp        0      0 localhost:netbios-ns    *:*                                 14277/nmbd
udp        0      0 *:netbios-ns            *:*                                 14277/nmbd
udp        0      0 localhost:netbios-dgm   *:*                                 14277/nmbd
udp        0      0 *:netbios-dgm           *:*                                 14277/nmbd
udp        0      0 *:openvpn               *:*                                 11652/openvpn

Das sieht für mich so aus, als ob Teile des Sambaservers trotzdem an das Public-Interface in Richtung des "bösen" Internets laufen, genau das will ich aber nicht, der Sambaserver soll wirklich einzig und allein über das VPN zu erreichen sein! Ich will "zum Internet hin" nur den Port für openVPN offen haben! (Natürlich mit Ausnahme des sshd)

Mir ist noch aufgefallen, dass die Dienste die nach "außen" hin offen sind alle über udp laufen, nur die Teile von Samba, die auf tcp laufen gehen auch nur über das lokale tap-Interface

Vielleicht hat jemand von Euch eine Idee oder ein Howto. Alles was ich bis jetzt gefunden habe bezieht sich darauf, dass der Sambaserver nicht auf dem gleichen Host läuft wie der openVPN-Server aber diese Konstellation ist bei mir leider nicht möglich.

Danke und Grüße

Nico

[oxygen]

bind interfaces only
For file service it causes smbd(8) to bind only to the interface
list given in the interfaces parameter. This restricts the networks
that smbd will serve to packets coming in those interfaces. Note
that you should not use this parameter for machines that are serving
PPP or other intermittent or non-broadcast network interfaces as it
will not cope with non-permanent interfaces.

Da bleibt nur iptables bzw.:

hosts allow = 10. 127.

[flo]

Mit Hosts.allow werden Verbindungen immer noch zuerst angenommen und dann anhand der IP wieder abgewiesen - das Lauschen gewöhnt man Samba so nicht ab. IPtables scheinen da das einzige Mittel der Wahl zu sein.

flo.

[noiz]

Mit Hosts.allow werden Verbindungen immer noch zuerst angenommen und dann anhand der IP wieder abgewiesen - das Lauschen gewöhnt man Samba so nicht ab. IPtables scheinen da das einzige Mittel der Wahl zu sein.

flo.

Ich möchte halt vermeiden, dass diese Ports nach außen offen sind, d.h. dass sie bei einem Portscan gar nicht erst auftauchen. Möchte dem bösen Angreifer ja so wenig wie möglich Angriffsfläche und Informationen über mein System bieten.

Leuchtet mir ein, dass das nur mit IPTables möglich ist.

Danke und Grüße

Nico

[lord_pinhead]

Schonmal an xinetd gedacht? Wenn du ein VPN hast, hast du ja deine VPN IP, je nach einrichtung schaltest du deine Dienste via xinetd einfach so frei.

Wenn der Port jetzt auftaucht oder nicht kann ja egal sein, der Wrapper verwirft die Anfrage dann und gut isses. Sind sowisso nur Kinder im Netz die danach suchen und dann mit Windows Exploits den Server Penetrieren.