10
Share Zugriff vom WAN zulassen bzw. verhindern
Hallo zusammen,
ich habe im LAN 2x SMB-Shares - eine von beiden möchte ich auch vom WAN aus zur Verfügung stellen.
Also Firewall konfiguriert, aber natürlich sind beide Shares verfügbar, weil beide auf Port 445 sind.
Meine Frage also: kann ich das irgendwie begrenzen?
Firewall Rule oder sowas?
Ich habe eine Grafik gebastelt, um es zu verdeutlichen und wollte noch zufügen:
2024-12-06 16_32_30-_Unbenannt - Paint.NET 5.1.1.png
WAN ist in meinem Beispiel nicht "das Internet" - mir ist klar, dass es gefährlich wäre das freizuschalten. Es geht hier um 2 lokale Netze, die eine Firewall und ein NAT verbindet.
ich habe im LAN 2x SMB-Shares - eine von beiden möchte ich auch vom WAN aus zur Verfügung stellen.
Also Firewall konfiguriert, aber natürlich sind beide Shares verfügbar, weil beide auf Port 445 sind.
Meine Frage also: kann ich das irgendwie begrenzen?
Firewall Rule oder sowas?
Ich habe eine Grafik gebastelt, um es zu verdeutlichen und wollte noch zufügen:
2024-12-06 16_32_30-_Unbenannt - Paint.NET 5.1.1.png
WAN ist in meinem Beispiel nicht "das Internet" - mir ist klar, dass es gefährlich wäre das freizuschalten. Es geht hier um 2 lokale Netze, die eine Firewall und ein NAT verbindet.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670036
Url: https://administrator.de/forum/share-zugriff-vom-wan-zulassen-bzw-verhindern-670036.html
Ausgedruckt am: 27.01.2025 um 13:01 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
A) So etwas sollte man nie ohne ein Absicherung wie z.B. VPN machen!
Da ist es nur eine Frage der Zeit bis Du neue Freunde hast.
B) Beide Shares haben doch unterliedliche LAN IPs oder nicht?
Also eine Regel nach dem Prinzip eingehend 445 -> LAN_IP_Share2:445
Stefan
A) So etwas sollte man nie ohne ein Absicherung wie z.B. VPN machen!
Da ist es nur eine Frage der Zeit bis Du neue Freunde hast.
B) Beide Shares haben doch unterliedliche LAN IPs oder nicht?
Also eine Regel nach dem Prinzip eingehend 445 -> LAN_IP_Share2:445
Stefan
1
ich habe im LAN 2x SMB-Shares - eine von beiden möchte ich auch vom WAN aus zur Verfügung stellen.
Das ist hoffentlich nicht ernst gemeint. Heute ist aber auch Freitag...
Manuel
Hallo zusammen - erst mal wegen der Sicherheit: WAN ist in meinem Beispiel nicht "das Internet" - mir ist klar, dass es gefährlich wäre, das freizuschalten. Es geht hier um 2 lokale Netze, die eine Firewall und ein NAT verbindet.
@StefanKittel: Danke für die Idee - leider nein, die beiden Shares sind auf derselben IP. Die Shares auf dem gleichen Gerät, das auch NAT und Firewall hat (ein Linux Router).
@StefanKittel: Danke für die Idee - leider nein, die beiden Shares sind auf derselben IP. Die Shares auf dem gleichen Gerät, das auch NAT und Firewall hat (ein Linux Router).
WAN ist in meinem Beispiel nicht "das Internet" - mir ist klar,
Das hast du oben aber noch ganz anders formuliert: "möchte ich auchvom WANaus zur Verfügung stellen."Jeder normale ITler versteht darunter das du damit laienhaft ein nicht geschütztes und unverschlüsseltes SMB/CIFS Share offen ins Internet exponieren willst. Zu so einem Vorhaben muss man sicher nichts mehr kommentieren dazu ist oben schon alles gesagt!
Zurück zum Thema
die beiden Shares sind auf derselben IP.
Auch das kann die Firewall problemlos handhaben. Dazu müssen 2 Ports mit Share 1 und Share 2 im Bridging Mode an 2 Interface laufen. So ist die Firewall in der Lage Layer 2 Traffic innerhalb eines gemeinsamen IP Netzes zu filtern.Man erzeugt also ein Bridge Interface dem man 2 Memberports mit den Shares zuweist. Die IP Adresse der Firewall liegt dabei auf dem Bridging Interface.
Die Shares befinden sich damit im gleichen IP Netz aber Sharing Traffic muss im Layer 2 über das Bridging Interface der Firewall und kann dort mit einem entsprechenden Regelwerk kontrolliert werden. Hier kann man dann nur bestimmten Endgeräten Zugang erlauben oder den Traffic wie auch immer reglementieren.
Ein klassisches, simples L2 Firewall Setup Szenario was mit allen Firewalls im Handumdrehen aufgesetzt ist.
2024-12-06 16_32_30-_Unbenannt - Paint.NET 5.1.1.png
Moin,
SMB Freigaben lassen sich an IP-Adressen binden. Wenn der Server dann eben zwei Adressen hat, könntest du das ganze per Regel steuern. Nur mit NAT wird das nichts. Allerdings sollte das, wenn du alles local betreibst, eh keine Rolle spielen.
Was ist das für ein Server?
Gruß
Spirit
SMB Freigaben lassen sich an IP-Adressen binden. Wenn der Server dann eben zwei Adressen hat, könntest du das ganze per Regel steuern. Nur mit NAT wird das nichts. Allerdings sollte das, wenn du alles local betreibst, eh keine Rolle spielen.
Was ist das für ein Server?
Gruß
Spirit
Nur mit NAT wird das nichts.
SMB/CIFS klappt zur Not auch über NAT. Der TO meint damit aber vermutlich nur das NAT an seinem WAN/Internet Port?! (geraten) Ist leider genauso verwirrend ausgedrückt wie das über WAN zur Verfügung stellen. 
Zitat von @aqui:
Nur mit NAT wird das nichts.
SMB/CIFS klappt zur Not auch über NAT. Der TO meint damit aber vermutlich nur das NAT an seinem WAN/Internet Port?! (geraten) Ist leider genauso verwirrend ausgedrückt wie das über WAN zur Verfügung stellen. ja schon, nur bringt ihm das leider nichts wenn er meinem Beispiel mit mehreren IPs auf Server Seite folgen würde.
Da hast du natürlich Recht, keine Frage!
Moin,
Man könnte es mit einem Domainbased Roting lösen.
server1.Domain.de -> SMB-Target1
server2.domain.de -> SMB-Target2
Dass muss die Firewall oben aber auch können…
Würde ich aber nur machen, wenn du dich grundsätzlich im gesamten LAN bewegst. Wenn du die beiden Targets per 445 aus dem Internet erreichbar mache willst: bitte per VPN. Sonst gehören dir die Daten ganz schnell nicht mehr …
Man könnte es mit einem Domainbased Roting lösen.
server1.Domain.de -> SMB-Target1
server2.domain.de -> SMB-Target2
Dass muss die Firewall oben aber auch können…
Würde ich aber nur machen, wenn du dich grundsätzlich im gesamten LAN bewegst. Wenn du die beiden Targets per 445 aus dem Internet erreichbar mache willst: bitte per VPN. Sonst gehören dir die Daten ganz schnell nicht mehr …
2
Kein Feedback ist natürlich auch ein Feedback...
Wenn es das denn nun war bitte nicht vergessen den Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wenn es das denn nun war bitte nicht vergessen den Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
