Samba-Verbindungen * nur * vom internen LAN (PF-Firewall) zulassen?

Question

Samba-Verbindungen * nur * vom internen LAN (PF-Firewall) zulassen?

896

gsl 2018-02-08 в 15:54

Es gibt eine FreeBSD 11.1-RELEASE-Maschine mit nur 1 NIC, die Samba-Freigaben hinter einer PF-Firewall auf demselben Server bereitstellt.

Ich muss Verbindungen nur von Clients zulassen, die über das interne Netzwerk verbunden sind (/ 24).

Momentan scheint das zu funktionieren:

# Default deny policy block in log all  # allow Samba connections only from internal IPs pass in quick on $ext_if inet proto tcp from $ext_if:network to $ext_if:network port  pass in quick on $ext_if inet proto udp from $ext_if:network to $ext_if:network port

Sind diese richtig und ausreichend?

Gibt es eine bessere, idiomatischere Möglichkeit, Samba-Verbindungen nur über ein internes LAN mit PF-Firewall zuzulassen?

0

Verwenden Sie vlans mit pfsense? Dies wäre der einfachste Weg, um den internen Verkehr zwischen zwei Lans, die Sie kontrollieren, zu steuern. Zwei separate Schnittstellen würden dasselbe tun. Tim_Stewart vor 6 Jahren 1

Nein, der Server läuft auf Lager FreeBSD 11.1-RELEASE, wobei im Kernel kein vlan kompiliert ist. Es hat auch nur eine Schnittstelle. gsl vor 6 Jahren 0

Ich bin verwirrt, wie routet ihr etwas ohne zwei Schnittstellen? Das standardmäßige Ethernet-Verhalten lässt alle Verbindungen über den LAN-Switch zu. Dh wenn sich die Samba-Freigabe im selben lokalen Segment befindet, wie kann man erwarten, dass pfsense den Verkehr blockiert, über den er keine Kontrolle hat? Tim_Stewart vor 6 Jahren 0

Ich habe versucht, die Frage zu klären: PF ist OpenBSD Packet Filter (nicht pfsense, das basiert darauf), und die Firewall befindet sich auf demselben Rechner wie die Samba-Freigaben. gsl vor 6 Jahren 0

1 Antwort auf die Frage

1

Accepted Answer · 2018-02-08 18:51:42

Fügen Sie Ihrer pf-sense-Installation eine weitere Schnittstelle hinzu. Wenn ein VLAN-fähiger Switch verfügbar ist, erhalten Sie zusätzliche virtuelle Schnittstellen in pf-sense.

Sie würden Ihre Samba-Freigabe auf eine zweite Schnittstelle setzen, ihr ein neues Subnetz geben (etwa 10.10.10.0 / 24). Alles wird funktionieren. Sie brauchen nur ein anderes Subnetz als die LAN-Benutzer, die Sie steuern möchten.

Richten Sie nun Regeln ein, über die Benutzer auf das zweite LAN-Subnetz zugreifen können. oder speziell, welche Benutzer über IP auf Ihre Samba-Freigabe zugreifen können.

BEARBEITEN: in PF (Filtering), um dies zu tun: nach einer Standardblockregel>

Der Datenverkehr muss jetzt explizit durch die Firewall geleitet werden, oder er wird durch die Standardverweigerungsrichtlinie gelöscht. Hier kommen Paketkriterien wie Quell- / Zielport, Quell- / Zieladresse und Protokoll ins Spiel. Wenn der Datenverkehr die Firewall passieren darf, sollten die Regel (n) so restriktiv wie möglich geschrieben werden. Damit soll sichergestellt werden, dass der beabsichtigte Verkehr und nur der beabsichtigte Verkehr passieren kann.

"# Übergibt den Datenverkehr auf dc0 vom lokalen Netzwerk (192.168.0.0/24) an OpenBSD"

"# IP-Adresse der Maschine 192.168.0.1. Weiterleiten Sie den zurückgeleiteten Datenverkehr auf dc0."

Übergabe an DC0 von 192.168.0.0/24 an 192.168.0.1

am DC0 von 192.168.0.1 auf 192.168.0.0/24 übergeben

"#Pass TCP-Datenverkehr an den Webserver, der auf dem OpenBSD-Computer ausgeführt wird."

Übertragen Sie in Egress Proto TCP von jedem Port Egress Www

Verwenden Sie Ihren Schnittstellennamen, fügen Sie Ihre Subnetze hinzu, und Sie sollten die IP-Regeln verwenden. es wird das viel einfacher machen.

Ich sehe nur zwei Pass-Regeln in Ihrem Post, ich glaube, Sie würden ein In / Out sowohl mit TCP als auch mit UDP benötigen.

Samba-Verbindungen * nur * vom internen LAN (PF-Firewall) zulassen?

1 Antwort auf die Frage

Verwandte Probleme