Share Zugriff vom WAN zulassen / verhindern

[PokeSiMon]

Hallo zusammen,

ich habe im LAN 2x SMB-Shares - eine von beiden möchte ich auch vom WAN aus zur Verfügung stellen.

Also Firewall konfiguriert, aber natürlich sind beide Shares verfügbar, weil beide auf Port 445 sind.

Meine Frage also: kann ich das irgendwie begrenzen?
Firewall Rule oder sowas?

Ich habe eine Grafik gebastelt, um es zu verdeutlichen und wollte noch zufügen:

WAN ist in meinem Beispiel nicht "das Internet" - mir ist klar, dass es gefährlich wäre das freizuschalten. Es geht hier um 2 lokale Netze, die eine Firewall und ein NAT verbindet.

 

[qiller]

Meine Frage also: kann ich das irgendwie begrenzen?

Geht nur, indem du Share1 und Share2 auf unterschiedlichen Hosts (die widerum unterschiedliche IP-Adressen haben) bindest. Die Hosts können auch virtuell sein. In der Firewall erweiterst du deine Regel dann um die entsprechende IP-Adresse.

 

[Incanus]

Das würde ich über Benutzerregeln machen, nicht über eine Firewall.

 

[Tornhoof]

Was exakt meinst du mit WAN, SMB ist eigentlich kein Protokoll was für WAN gedacht ist.

 

[PokeSiMon]

Hallo zusammen, leider sind die Shares auf dem gleichen Gerät, das auch NAT und Firewall hat (ein Linux Router). Daher sehe ich auch mit Benutzerregeln hier keine Chance.

 

[qiller]

leider sind die Shares auf dem gleichen Gerät, das auch NAT und Firewall hat (ein Linux Router)

Man kann auf einem Host eine Firewall und 2 virtuelle Maschinen mit den Shares virtualisieren. Ob das sinnvoll ist, lass ich mal außen vor.

Eine Firewallregel basiert primär auf dem Protokoll, Quell- und Ziel-IP-Adresse(n) sowie Quell- und Zielport(s). Es gibt dann noch sekundäre Merkmale wie Anzahl der offenen Verbindungen oder Anzahl der Verbindungsaufbauten pro Zeitintervall, aber die helfen dir erstmal nicht weiter.

Wenn du also Verbindungen auf Firewallebene zulassen oder sperren willst, dann brauchst du eine Unterscheidung hinsichtlich dieser Merkmale. Wenn wir hier von normalen SMB-Shares ausgehen ist schonmal Protokoll und Zielport vorgegeben: TCP-Port 445, der soweit ich weiß nicht geändert oder hinsichtlich unterschiedlicher Shares konfiguriert werden kann. Bleibt also nur die IP-Adresse zur Unterscheidung und 2 Möglichkeiten hier eine Unterscheidung zwischen Share 1 und 2 vorzunehmen habe ich ja schon genannt.

 

[0x8100]

2 virtuelle Maschinen

oder man gibt der einen maschine einfach zwei adressen und bindet jeweils eine instanz auf ein interface. zumindest mit samba kein problem.

 

[qiller]

zumindest mit samba kein problem.

Ja, ich weiß. Ich hatte deswegen auch extra nochmal gegoogled, ob das nicht auch mit Windows geht. Aber Windows scheint da wohl deutlich hartnäckiger zu sein. Man kann auch den Port 445/119 nicht redirecten. Also wenn das Samba-Shares unter Linux sind, könnte man die auf 2 IP-Adress Aliase binden. Hat der TE aber nix zu gesagt, daher ging ich mal von Windows aus.

 

[PokeSiMon]

FYI die Share ist auf einem Linux OS, nicht Windows - nur die Rechner, die auf das Share zugreifen, sind Windows.

@quiller - meinst Du damit VLAN?

 

[qiller]

leider sind die Shares auf dem gleichen Gerät, das auch NAT und Firewall hat (ein Linux Router).

Musste nochmal ne Nacht drüber schlafen. Also: Wenn der Samba-Dienst auf der Linux Firewall selber läuft, läuft der Dienst in der Standardeinstellung wahrscheinlich sowieso auf allen Netzwerkadaptern. Eine NAT-Firewall hat ja mindestens 2 (LAN+WAN bei dir). Der Weg über irgendwelche FW-Regeln wären dann noch komplizierter als von mir gedacht. Du müsstest in der Global-Sektion des Samba-Dienst über die "interface"-Direktive erstmal dafür sorgen, dass der Samba-Dienst gar nicht erst am WAN-IF gebunden ist und dann könnte man über FW-Regeln da irgendwelche Datenflüsse steuern. Das nächste Problem wäre dann aber der Samba-Dienst selber, du müsstest nämlich (wenn du nicht virtualisieren willst) 2x den Samba-Dienst zum laufen bekommen, jeweils 1x auf einen unterschiedlichen IP-Alias im LAN gebunden. Das ist schon ordentlich kompliziert.

Die Netze im LAN und WAN sind ja unterschiedlich. Der wesentlich einfachere Weg wäre einfach über die "hosts allow"- oder "host deny"-Direktive in der Share-Definition den Zugriff aus den IP-Netzen einfach einzuschränken bzw. zuzulassen.

Beispiel:
LAN: 192.168.100.0/24
WAN: 10.25.25.0/24

smb.conf:

[share1]
hosts allow = 192.168.100.0/24
...

[share2]
hosts allow = 192.168.100.0/24 10.25.25.0/24
...

 

[PokeSiMon]

@quiller

Das wäre ja fantastisch!!!!
Du meinst also ich soll in der "samba" Datei im Verzeichnis /etc/config/samba entsprechende ergänzen, das die eine Share Verbindungen von der WAN Seite akzeptiert?

 

[qiller]

So isses. Ich weiß leider nicht, wie Samba das haben will, hab nur gelesen, man soll die "hosts allow/deny" Direktiven nur nicht noch zusätzlich in der Global-Section reinschreiben, weil die dann überschrieben werden. Und ob du besser mit "hosts allow" oder "hosts deny" arbeitest, musst du testen, was besser geht. Bei mir ist das mit Samba locker 15 Jahre her, wo ich da rumgefummelt hab .

 

[PokeSiMon]

Habe es probiert, leider ein kompletter Fehlschlag.
Sobald ich "hosts allow" , "hosts deny" einbringe, kann ich keine SMB Verbindung über Windows CMD mehr herstellen. Ich kriege Systemfehler 67. Habe verschiedene Kombinationen laut dieser Webpage versuch aber immer mit dem gleichen Ergebnis:

https://linux-training.be/networking/ch21.html

Sobald ich die Zeile wieder lösche und reboote, geht alles wieder wie erwartet