2 Netzwerkkarten in Firewall = sicher?

Computer: Software & Programmierung UNIX & Linux
#1

Bislang sind in meiner Firewall zwei Netzwerkkarten unter SUSE7.0 installiert und fast alle daemons disabled.

Eth0 routet die DSL-Verbindung von eth1 ins LAN.

Ich möchte nun Samba einsetzen. Wenn ich meiner Firewall nun eine dritte Netzwerkkarte spendiere kann ich Samba zwingend an eth2 (die neue Karte) binden, ohne das die Gefahr besteht, daß ein Angreifer von aussen über das DSL-Interface und eth0 (gateway) mein Samba ansprechen kann?

Wenn ich in der smb.conf über „interfaces = 192.168.88.10/255.255.255.0“ samba an eth2 binde, gibt es dann eine Möglichkeit von aussen bei einem Portscan Port 139 zu sehen??

Oder mache ich da gerade einen Denkfehler?

Ich möchte einfach das bei einem Portscan auf meine Firewall möglichst far kein Port auftaucht, aber auch gleichzeitig keinen zweiten Rechner als Fileserver hinstellen (Lüftergebrumme, Strom, Elektrosmog, etc.)

#2

Moin,

auch wenn ich dir davon abraten möchte deine Daten auf dem Router zu lagern und samba zu installiere, kann ich nachvollziehen warum privat diese Entscheidung trifft.

Bislang sind in meiner Firewall zwei Netzwerkkarten unter
SUSE7.0 installiert und fast alle daemons disabled.

Hast du die SuSEFW benutzt ?

Ich möchte nun Samba einsetzen. Wenn ich meiner Firewall nun
eine dritte Netzwerkkarte spendiere kann ich Samba zwingend an
eth2 (die neue Karte) binden, ohne das die Gefahr besteht,
daß ein Angreifer von aussen über das DSL-Interface und eth0
(gateway) mein Samba ansprechen kann?

Wenn ich in der smb.conf über „interfaces =
192.168.88.10/255.255.255.0“ samba an eth2 binde, gibt es dann
eine Möglichkeit von aussen bei einem Portscan Port 139 zu
sehen??

Oder mache ich da gerade einen Denkfehler?

Machst du! Sogar mehrere.
Erst mal schauen wir uns das ganze an, ohne die Firewall und das Internet.

Bsp.
Ein Rechner 2 NW Karten, ip forwarding aktiviert und keine packetfilter.
eth0=192.168.0.1
eth1=192.168.1.1 (Samba)

Ein Rechner aus dem 192.168.0.0/24 Netz hat folgendes Routing
192.168.1.0/24 wird über 192.168.0.1 erreicht.

Folglich kann er auf Samba zugreifen.

Jetzt schauen wir uns das mal aus sicht das Internets an ohne Firewall.

Da IP Adressen aus dem Privaten bereich nicht geroutet werden. Kann niemand irgendwo aus dem Internet diese Addy ansprechen(al von Sourcerouting abgesehen, aber ich gehe nicht davon aus das es noch viele ISP gibt die das zu lassen).
Folglich wird niemand auf diese IP zugreifen können.
Ausnahmen der Angreifer sitzt direkt bei deinem ISP oder hat ein System dort gehackt.
Aber darauf sollte man sich natürlich nicht verlassen!
Ich wollte es nur der Vollständigkeit halber erwähnen.

Zum Thema Firewall kann ich nichts sagen, da ich deine Regeln nicht kenne.

Es ist IMHO wichtig das du die Firewall so konfigurierst das default mäßig nichts durch darf und nur das öffnest was du möchtest. Dann stellt sich die Frage, die du hast nicht mehr.

Ich möchte einfach das bei einem Portscan auf meine Firewall
möglichst far kein Port auftaucht, aber auch gleichzeitig
keinen zweiten Rechner als Fileserver hinstellen

Dann konfiguriere deine packetfilter dementsprechend.

DU kannst mir ja mal alle deine Regeln zu kommen lassen.
Entweder per Mail oder hier im Forum.
(Ich würde Mail vorziehen, muß ja nicht jeder deine Regeln kennen und mir wirst du wohl vertrauen müssen wenn ich dir helfen soll)
BTW Mit Regeln meine ich nicht die einträge aus der rc.config:smile:

bis dann

Markus

#3

erstmal danke! ähh… hab da aber noch ein paar verständnisprobleme:

Bislang sind in meiner Firewall zwei Netzwerkkarten unter
SUSE7.0 installiert und fast alle daemons disabled.

Hast du die SuSEFW benutzt ?

nee, per ipchains…

Oder mache ich da gerade einen Denkfehler?

Machst du! Sogar mehrere.
Ein Rechner 2 NW Karten, ip forwarding aktiviert und keine
packetfilter.
eth0=192.168.0.1
eth1=192.168.1.1 (Samba)

Ein Rechner aus dem 192.168.0.0/24 Netz hat folgendes Routing
192.168.1.0/24 wird über 192.168.0.1 erreicht.

Folglich kann er auf Samba zugreifen.

aber wieso?? wenn beide eth’s über ein eigenes Kabel an den Hub angeschlossen sind muß ich doch nicht vom netz 192.168.0.0/24 (eth0) auf eth1 routen. Ich kann doch eth0 als gateway nutzen und eth1 als Fileserver in meinem Subnetz. Oder muß der gateway im gleichen Subnetz wie mein client sein? Sorry, wenn das ne dumme Frage ist, aber ich bin nicht der TCP/IP Experte…
Mein Gedanke ist, Gateway und Fileserver in zwei verschiedenen Subnetzen zu haben…
Klär mich doch vielleicht mal über meinen Denkfehler auf *g*!?

gruss und danke, steffen

#4

Hallo Steffen,

nee, per ipchains…

Das freut mich.:smile:

aber wieso?? wenn beide eth’s über ein eigenes Kabel an den
Hub angeschlossen sind muß ich doch nicht vom netz
192.168.0.0/24 (eth0) auf eth1 routen. Ich kann doch eth0 als

Schau dir mal deine Routing Tabelle an „netstat -rn“ und du wirst sehen das die Routen für die Netze der interfaces gesetzt sind.

Solange dein System also Packete forwarded(Was es ja wegen der Router aufgabe machen muß), wird man über das system das andere Netz erreichen. Du kannst das natürlich mit passenden Firewallregeln unterbinden.

Es gibt zwei Bücher die ich dir empfehlen möchte. Ich muß nur mal nachschauen welches für den Anfang besser geeignet ist. Ich werde die Titel nachreichen.

BTW Hast die Firewallregeln aufgesetzt? Wenn ja, frage ich mich da du kein Experte bist, wie sie aussehen. bist du so nett und mails sie mir mal.
(Du kannst mir auch vertrauen:smile: *g*

cu

Markus

#5

Buchempfehlung
Oreilly TCP/IP Netzwerk-Administration