5.1 AFP Server-Zugriffsliste
Grundsätzlich lässt der Server Verbindungen von allen bekannten TCP/IP-Netzwerkkarten zu. Wenn sich ein AppleTalk-Dateiserver anmeldet antwortet der Server mit einer Liste aller bekannten TCP/IP-Adressen auf dem Server, damit sich der Client über TCP/IP an den Server anmelden kann.
Bisweilen ist es notwendig, manche Netzwerkkarten oder TCP/IP-Adressen nicht öffentlich zu machen. Dies können sie mit der Präferenz
ipaddress tun, die in Kapitel
13.1 "AFP Server Präferenzen" beschrieben wird.
Zusätzlich erlaubt eine TCP/IP-Zugriffsliste eingehende Verbindungen auf solche zu begrenzen, die in einer Liste zugelassener TCP/IP-Adressen enthalten sind. Siehe auch die Präferenz
ipaccess in Kapitel
13.1 "AFP Server Präferenzen".
5.2 Volumes-Zugriffsliste
HELIOS Produkte beinhalten viele verschiedene Dienste, die problemlos für die Verwendung im Intranet genutzt werden können. Um HELIOS Dienste sowohl im
Intranet als auch im
Internet nutzen zu können, müssen zusätzliche Sicherheitsüberlegungen angestellt werden, z. B. wenn Sie verhindern möchten, dass Jedermann die OPI-Layouterzeugung über den Telnet-Port des "opisrv" nutzt. Weiterhin möchten Sie bestimmt nicht all Ihre Volumes Internet-Nutzern zur Verfügung stellen oder nichtautorisierten Internet-Nutzern das Drucken über Ihre Druckerwarteschlangen erlauben. Wenn Sie Ihren Hauptserver über das Internet zugänglich machen laufen Sie Gefahr, dass aufgrund der vielfältigen Dienste, die auf dem Server laufen, die Möglichkeit besteht, dass beispielsweise für "Hacker" immer ein Weg offen steht, einen Dienst zu finden, den sie verwenden können um in Ihr System einzubrechen. Eine hundertprozentige Sicherheit gibt es für Ihr System wahrscheinlich nur dann, wenn Sie sich entscheiden, nur ein lokales Intranet zu betreiben und alle Dienste zum oder aus dem Internet sperren.
Zusätzlich zu den HELIOS Diensten stellt UNIX viele Dienste zur Verfügung: NFS, telnet, ftp, rlogin usw. Eine einfache Möglichkeit, aktive Dienste zu überprüfen, ist das Kommando
netstat -a | grep -i listen, welches von der Kommandozeile ausgeführt wird. Eine Möglichkeit, wenigstens ein paar Dienste ins Internet zu bringen ist die Verwendung von zwei Netzwerkadaptern; einen für das
Intranet und einen weiteren für das
Internet, z. B.:
Adresse des Netzwerkadapters
le0 172.16.0.1 Intranet-Netzwerk
le1 193.141.98.37 Internet-Netzwerk
Hinweis: Das UNIX IP-Routing bzw. das Weiterleiten wird hierfür nicht benötigt und sollte zwischen diesen beiden Netzwerken deaktiviert sein.
Am besten sperren Sie alle HELIOS Dienste für Verbindungen aus dem Internet-Netzwerk 193.141.98.x. Dafür können sie die Funktionalität der HELIOS IP-Zugriffslisten verwenden, die über HELIOS Admin verwaltet werden können, oder Sie benutzen einen UNIX-Texteditor. Hier sehen Sie eine Beispielkonfiguration für die Liste "HELIOSDIR/var/conf/ipaccess":
allow 172.16.0.0/255.255.0.0 #Intranet-Netzwerk
Diese Konfiguration wird grundsätzlich jeglichen Zugang aus dem Internet sperren, mit Ausnahme des Netzwerks
172.16.x.x, welches für HELIOS Dienste verwendet werden kann.
5.2.1 EtherShare AFP Server für Verbindungen vom/zum Internet aktivieren
Ein Konfigurationsbeispiel wäre, den Zugang aus dem Internet für ein AFP-Servervolume zu erlauben, für alle anderen Volumes aber nicht. Dazu muss es zuerst dem Prozess "afpsrv" erlaubt werden Verbindungen aus dem Internet anzunehmen. Dies lässt sich im HELIOS Admin, im Menü
Settings > Server Settings einrichten. Wählen Sie
DEFAULT aus dem Aufklappmenü in der Registerkarte
Macintosh, und bearbeiten sie diese Datei gemäß Ihren Anforderungen. Sie finden eine Beschreibung, wie die IP-Zugriffsdatei bearbeitet wird, oder wie Sie eine neue anlegen können, im Base Handbuch.
