Grundsätzlich lässt der Server Verbindungen von allen bekannten TCP/IP-Netzwerkkarten zu. Wenn ein Client das Netzwerk nach einem AFP-Server durchsucht, antwortet dieser mit einer Liste aller bekannten TCP/IP-Adressen auf dem Server.
Bisweilen ist es notwendig, manche Netzwerkkarten oder TCP/IP-Adressen nicht öffentlich zu machen. Dies können sie mit der Präferenz ipaddress tun, die in Kapitel 9.1 „AFP-Server Präferenzen“ beschrieben wird.
Zusätzlich erlaubt eine TCP/IP-Zugriffsliste eingehende Verbindungen auf solche zu begrenzen, die in einer Liste zugelassener TCP/IP-Adressen enthalten sind. Siehe auch die Präferenz ipaccess in Kapitel 9.1 „AFP-Server Präferenzen“.
HELIOS Produkte beinhalten viele verschiedene Dienste, die problemlos für die Verwendung im Intranet genutzt werden können. Um HELIOS Dienste sowohl im Intranet als auch im Internet nutzen zu können, müssen zusätzliche Sicherheitsüberlegungen angestellt werden, z. B. wenn Sie verhindern möchten, dass jedermann die OPI-Layouterzeugung über den Telnet-Port des „opisrv“ nutzt. Weiterhin möchten Sie bestimmt nicht all Ihre Volumes Internetnutzern zur Verfügung stellen oder nichtautorisierten Internetnutzern das Drucken über Ihre Druckerwarteschlangen erlauben. Wenn Sie Ihren Hauptserver über das Internet zugänglich machen laufen Sie Gefahr, dass aufgrund der vielfältigen Dienste, die auf dem Server laufen, die Möglichkeit besteht, dass beispielsweise für „Hacker“ immer ein Weg offen steht, einen Dienst zu finden, den sie verwenden können um in Ihr System einzubrechen. Eine hundertprozentige Sicherheit gibt es für Ihr System wahrscheinlich nur dann, wenn Sie sich entscheiden, nur ein lokales Intranet zu betreiben und alle Dienste zum oder aus dem Internet sperren.
Zusätzlich zu den HELIOS Diensten stellt UNIX viele
Dienste zur Verfügung: NFS, telnet, ftp, rlogin usw. Eine
einfache Möglichkeit, aktive Dienste zu überprüfen, ist das
Kommando netstat -a | grep -i listen
, welches von der
Kommandozeile ausgeführt wird. Eine Möglichkeit, wenigstens ein
paar Dienste ins Internet zu bringen ist die Verwendung von
zwei Netzwerkadaptern; einen für das Intranet und
einen weiteren für das Internet, z. B.:
le0 172.16.0.1 Intranet-Netzwerk le1 193.141.98.37 Internet-Netzwerk
Das UNIX IP-Routing bzw. das Weiterleiten wird hierfür nicht benötigt und sollte zwischen diesen beiden Netzwerken deaktiviert sein.
Am besten sperren Sie alle HELIOS Dienste für Verbindungen aus dem Internet-Netzwerk 193.141.98.x. Dafür können sie die Funktionalität der HELIOS TCP/IP-Zugriffslisten verwenden, die über HELIOS Admin verwaltet werden können, oder Sie benutzen einen UNIX-Texteditor. Hier sehen Sie eine Beispielkonfiguration für die Liste „HELIOSDIR/var/conf/ipaccess“:
allow 172.16.0.0/255.255.0.0 #Intranet-Netzwerk deny 0.0.0.0/0
Diese Konfiguration wird grundsätzlich jeglichen Zugang
aus dem Internet sperren, mit Ausnahme des Netzwerks
172.16.x.x
, welches für HELIOS Dienste verwendet
werden kann.
Ein Konfigurationsbeispiel wäre, den Zugang aus dem
Internet für ein AFP-Servervolume zu erlauben, für alle
anderen Volumes aber nicht. Dazu muss es zuerst dem
Prozess „afpsrv“ erlaubt werden Verbindungen aus dem
Internet anzunehmen. Dies lässt sich im HELIOS Admin,
im Menü Settings > Server Settings
einrichten.
Wählen Sie DEFAULT
aus dem Aufklappmenü in der
Registerkarte Mac
und bearbeiten sie diese Datei
gemäß Ihren Anforderungen.
Sie finden eine Beschreibung, wie die IP-Zugriffsdatei bearbeitet wird, oder wie Sie eine neue anlegen können, im HELIOS Base Handbuch.
Danach lässt sich der volumebezogene Zugriff in den Volumeeinstellungen
(<Volumename>
> IP Access
) konfigurieren, indem
die entsprechende Liste aus dem Aufklappmenü ausgewählt wird (siehe
Abb. 4.1).
Eine Beschreibung, wie die IP-Zugriffsdatei bearbeitet wird oder wie Sie eine neue anlegen können finden Sie im HELIOS Base Handbuch.