darkzonesd
Goto Top

Samba Share nur auf einer IP-Adresse bei mehreren Adaptern

Moin Gemeinschaft,

ich setze gerade ein Samba-Share auf das nur innerhalb eines VLANs sichtbar seien soll.

Es gibt 2 Netzwerkadapter einmal ens160 = 10.1.0.250 und ens192 = 10.1.40.252
[switch-configs]
    # Gastzugang ohne Passwort
    path = /srv/switch-configs
    comment = Public
    read only = no
    guest ok = yes
    guest only = yes
Das funktioniert insofern das der Share auf dem Adapter 1 (10.1.0.250) erreichbar ist, aber nicht unter Adapter 2 (10.1.40..), leider sollte es aber genau andersrum sein das ich nur über \\10.1.40.252\switch-configs darauf zugreifen kann. Auf diesen Share sollen die Switche die sich in diesem VLAN befinden in Zukunft ihre Configs hin schicken.

Ich habe es ausprobiert mit:
bind interfaces only = yes
interfaces = ens192
hat aber leider nichts gebracht.

Hat hier jemand eine Idee zu?

Viele Grüße

Content-Key: 42138111478

Url: https://administrator.de/contentid/42138111478

Printed on: March 3, 2024 at 02:03 o'clock

Member: tagol01
tagol01 Nov 22, 2023 at 12:15:54 (UTC)
Goto Top
Hallo

was sagt:

netstat -nat
Member: DarkZoneSD
DarkZoneSD Nov 22, 2023 updated at 12:39:41 (UTC)
Goto Top
Moin,
was sagt:

netstat -nat

tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:9443            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN
tcp        0      0 10.1.0.250:445          0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:445         0.0.0.0:*               LISTEN
tcp        0      0 10.1.0.250:139          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:139         0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:33060         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0    280 10.1.0.250:22           10.1.0.4:53444          ESTABLISHED
tcp        0      0 10.1.0.250:49148        35.232.111.17:80        TIME_WAIT
tcp6       0      0 :::8000                 :::*                    LISTEN
tcp6       0      0 :::9443                 :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 ::1:631                 :::*                    LISTEN

alternativ: netstat -an | grep LISTEN | grep -e 139 -e445
tcp        0      0 10.1.0.250:445          0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:445         0.0.0.0:*               LISTEN
tcp        0      0 10.1.0.250:139          0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:139         0.0.0.0:*               LISTEN

Zusätzlich

Ich habe es gerade mal getestet. Lokal komme ich auf den share über smbclient
smbclient //10.1.40.252/switch-configs
Password for [WORKGROUP\administrator]:
Try "help" to get a list of possible commands.  
smb: \>
An der Firewall sollte es nicht liegen da ich aus meinem VLAN heraus vollzugriff auf das VLAN habe indem der share angezeigt werden soll.
Member: aqui
Solution aqui Nov 22, 2023 updated at 13:07:39 (UTC)
Goto Top
Das funktioniert insofern das der Share auf dem Adapter 1 (10.1.0.250) erreichbar ist, aber nicht unter Adapter 2 (10.1.40..)
Sofern du nichts einschränkst im Samba Setup des Servers sind die Shares generell aus allen direkt am Server angeschlossenen Segmenten gleichsam mit einem dortigen Client zu erreichen.

Wenn du nur über den 10.1.0.250 er Adapter willst müsste ja der Server selber routen wenn du den 40er Adapter erreichen willst.
In dem Falle müsste in der /etc/sysctl.conf das Kommentarzeichen "#" vor der Zeile net.ipv4.ip_forward=1 entfernt werden. Danach rebooten oder den Netzwerk Stack neu starten.
⚠️ Aber Vorsicht!
Damit hast du dir über den Server dann einen Backdoor Router geschaffen der die Firewall aushebelt und dann die beiden IP Netze 10.1.0.0 /24 und 10.1.40.0 /24 ohne Sicherung direkt verbindet.
Da solltest du dann zwingend iptables oder nftables auf dem Server aktivieren um Zugriffe zu unterbinden bzw. lediglich auf die Host IP mit TCP 445 zulässt.
So ein Setup wird mit Sicherheit wohl nicht deine Intention, sein oder?
Member: DarkZoneSD
DarkZoneSD Nov 22, 2023 at 13:30:01 (UTC)
Goto Top
Das klingt logisch. Ich werde das indemfall definitiv nicht machen.

So ist das halt wenn man versucht eine bestehende Struktur zu zweckentfremden. Ich werden den Server neu aufbauen im 1400 Vlan. Da ich sowieso zugriff von meinem VLAN aus auf das habe sollte es kein Problem sein zu administrieren.

Danke für die Hinweise.
Member: aqui
aqui Nov 22, 2023 at 14:17:40 (UTC)
Goto Top
Ich werden den Server neu aufbauen im 1400 Vlan.
Eine weise Entscheidung! 😉
Security macht in einem segmentierten Design bekanntlich immer die Infrastruktur in Form von Firewall oder Router/Switch ACLs.