EtherShare UB+ Benutzerhandbuch

5 TCP/IP-Konfiguration

5.1 AFP Server-Zugriffsliste

Grundsätzlich lässt der Server Verbindungen von allen bekannten TCP/IP-Netzwerkkarten zu. Wenn sich ein AppleTalk-Dateiserver anmeldet antwortet der Server mit einer Liste aller bekannten TCP/IP-Adressen auf dem Server, damit sich der Client über TCP/IP an den Server anmelden kann.

Bisweilen ist es notwendig, manche Netzwerkkarten oder TCP/IP-Adressen nicht öffentlich zu machen. Dies können sie mit der Präferenz ipaddress tun, die in Kapitel 13.1 "AFP Server Präferenzen" beschrieben wird.

Zusätzlich erlaubt eine TCP/IP-Zugriffsliste eingehende Verbindungen auf solche zu begrenzen, die in einer Liste zugelassener TCP/IP-Adressen enthalten sind. Siehe auch die Präferenz ipaccess in Kapitel 13.1 "AFP Server Präferenzen".

5.2 Volumes-Zugriffsliste

HELIOS Produkte beinhalten viele verschiedene Dienste, die problemlos für die Verwendung im Intranet genutzt werden können. Um HELIOS Dienste sowohl im Intranet als auch im Internet nutzen zu können, müssen zusätzliche Sicherheitsüberlegungen angestellt werden, z. B. wenn Sie verhindern möchten, dass jedermann die OPI-Layouterzeugung über den Telnet-Port des "opisrv" nutzt. Weiterhin möchten Sie bestimmt nicht all Ihre Volumes Internet-Nutzern zur Verfügung stellen oder nichtautorisierten Internet-Nutzern das Drucken über Ihre Druckerwarteschlangen erlauben. Wenn Sie Ihren Hauptserver über das Internet zugänglich machen laufen Sie Gefahr, dass aufgrund der vielfältigen Dienste, die auf dem Server laufen, die Möglichkeit besteht, dass beispielsweise für "Hacker" immer ein Weg offen steht, einen Dienst zu finden, den sie verwenden können um in Ihr System einzubrechen. Eine hundertprozentige Sicherheit gibt es für Ihr System wahrscheinlich nur dann, wenn Sie sich entscheiden, nur ein lokales Intranet zu betreiben und alle Dienste zum oder aus dem Internet sperren.

Zusätzlich zu den HELIOS Diensten stellt UNIX viele Dienste zur Verfügung: NFS, telnet, ftp, rlogin usw. Eine einfache Möglichkeit, aktive Dienste zu überprüfen, ist das Kommando netstat -a | grep -i listen, welches von der Kommandozeile ausgeführt wird. Eine Möglichkeit, wenigstens ein paar Dienste ins Internet zu bringen ist die Verwendung von zwei Netzwerkadaptern; einen für das Intranet und einen weiteren für das Internet, z. B.:

Adresse des Netzwerkadapters

le0 172.16.0.1 Intranet-Netzwerk

le1 193.141.98.37 Internet-Netzwerk

Hinweis: Das UNIX IP-Routing bzw. das Weiterleiten wird hierfür nicht benötigt und sollte zwischen diesen beiden Netzwerken deaktiviert sein.

Am besten sperren Sie alle HELIOS Dienste für Verbindungen aus dem Internet-Netzwerk 193.141.98.x. Dafür können sie die Funktionalität der HELIOS IP-Zugriffslisten verwenden, die über HELIOS Admin verwaltet werden können, oder Sie benutzen einen UNIX-Texteditor. Hier sehen Sie eine Beispielkonfiguration für die Liste "HELIOSDIR/var/conf/ipaccess":

allow 172.16.0.0/255.255.0.0 #Intranet-Netzwerk

deny 0.0.0.0/0

Diese Konfiguration wird grundsätzlich jeglichen Zugang aus dem Internet sperren, mit Ausnahme des Netzwerks 172.16.x.x, welches für HELIOS Dienste verwendet werden kann.

5.2.1 EtherShare AFP Server für Verbindungen vom/zum Internet aktivieren

Ein Konfigurationsbeispiel wäre, den Zugang aus dem Internet für ein AFP-Servervolume zu erlauben, für alle anderen Volumes aber nicht. Dazu muss es zuerst dem Prozess "afpsrv" erlaubt werden Verbindungen aus dem Internet anzunehmen. Dies lässt sich im HELIOS Admin, im Menü Settings > Server Settings einrichten. Wählen Sie DEFAULT aus dem Aufklappmenü in der Registerkarte Macintosh, und bearbeiten sie diese Datei gemäß Ihren Anforderungen. Sie finden eine Beschreibung, wie die IP-Zugriffsdatei bearbeitet wird, oder wie Sie eine neue anlegen können, im Base Handbuch.