EtherShare G8 Benutzerhandbuch (Version 7.0.0)  
 

4 TCP/IP-Konfiguration

4.1 Zugriff auf den AFP Server

Grundsätzlich lässt der Server Verbindungen von allen bekannten TCP/IP-Netzwerkkarten zu. Wenn ein Client das Netzwerk nach einem AFP-Server durchsucht, antwortet dieser mit einer Liste aller bekannten TCP/IP-Adressen auf dem Server.

Bisweilen ist es notwendig, manche Netzwerkkarten oder TCP/IP-Adressen nicht öffentlich zu machen. Dies können sie mit der Präferenz ipaddress tun, die in Kapitel 9.1 „AFP-Server Präferenzen“ beschrieben wird.

Zusätzlich erlaubt eine TCP/IP-Zugriffsliste eingehende Verbindungen auf solche zu begrenzen, die in einer Liste zugelassener TCP/IP-Adressen enthalten sind. Siehe auch die Präferenz ipaccess in Kapitel 9.1 „AFP-Server Präferenzen“.

4.2 IP-Zugriffsliste

HELIOS Produkte beinhalten viele verschiedene Dienste, die problemlos für die Verwendung im Intranet genutzt werden können. Um HELIOS Dienste sowohl im Intranet als auch im Internet nutzen zu können, müssen zusätzliche Sicherheitsüberlegungen angestellt werden, z. B. wenn Sie verhindern möchten, dass jedermann die OPI-Layouterzeugung über den Telnet-Port des „opisrv“ nutzt. Weiterhin möchten Sie bestimmt nicht all Ihre Volumes Internetnutzern zur Verfügung stellen oder nichtautorisierten Internetnutzern das Drucken über Ihre Druckerwarteschlangen erlauben. Wenn Sie Ihren Hauptserver über das Internet zugänglich machen laufen Sie Gefahr, dass aufgrund der vielfältigen Dienste, die auf dem Server laufen, die Möglichkeit besteht, dass beispielsweise für „Hacker“ immer ein Weg offen steht, einen Dienst zu finden, den sie verwenden können um in Ihr System einzubrechen. Eine hundertprozentige Sicherheit gibt es für Ihr System wahrscheinlich nur dann, wenn Sie sich entscheiden, nur ein lokales Intranet zu betreiben und alle Dienste zum oder aus dem Internet sperren.

Zusätzlich zu den HELIOS Diensten stellt UNIX viele Dienste zur Verfügung: NFS, telnet, ftp, rlogin usw. Eine einfache Möglichkeit, aktive Dienste zu überprüfen, ist das Kommando netstat -a | grep -i listen, welches von der Kommandozeile ausgeführt wird. Eine Möglichkeit, wenigstens ein paar Dienste ins Internet zu bringen ist die Verwendung von zwei Netzwerkadaptern; einen für das Intranet und einen weiteren für das Internet, z. B.:

le0     172.16.0.1      Intranet-Netzwerk 
le1     193.141.98.37   Internet-Netzwerk
Hinweis:

Das UNIX IP-Routing bzw. das Weiterleiten wird hierfür nicht benötigt und sollte zwischen diesen beiden Netzwerken deaktiviert sein.

Am besten sperren Sie alle HELIOS Dienste für Verbindungen aus dem Internet-Netzwerk 193.141.98.x. Dafür können sie die Funktionalität der HELIOS TCP/IP-Zugriffslisten verwenden, die über HELIOS Admin verwaltet werden können, oder Sie benutzen einen UNIX-Texteditor. Hier sehen Sie eine Beispielkonfiguration für die Liste „HELIOSDIR/var/conf/ipaccess“:

allow 172.16.0.0/255.255.0.0        #Intranet-Netzwerk 
deny 0.0.0.0/0

Diese Konfiguration wird grundsätzlich jeglichen Zugang aus dem Internet sperren, mit Ausnahme des Netzwerks 172.16.x.x, welches für HELIOS Dienste verwendet werden kann.

4.2.1 Volume-Zugriffsliste

Ein Konfigurationsbeispiel wäre, den Zugang aus dem Internet für ein AFP-Servervolume zu erlauben, für alle anderen Volumes aber nicht. Dazu muss es zuerst dem Prozess „afpsrv“ erlaubt werden Verbindungen aus dem Internet anzunehmen. Dies lässt sich im HELIOS Admin, im Menü Settings > Server Settings einrichten.

hsymInstruction

Wählen Sie DEFAULT aus dem Aufklappmenü in der Registerkarte Mac und bearbeiten sie diese Datei gemäß Ihren Anforderungen.

Sie finden eine Beschreibung, wie die IP-Zugriffsdatei bearbeitet wird, oder wie Sie eine neue anlegen können, im HELIOS Base Handbuch.

Danach lässt sich der volumebezogene Zugriff in den Volumeeinstellungen (<Volumename> > IP Access) konfigurieren, indem die entsprechende Liste aus dem Aufklappmenü ausgewählt wird (siehe Abb. 4.1).

Eine Beschreibung, wie die IP-Zugriffsdatei bearbeitet wird oder wie Sie eine neue anlegen können finden Sie im HELIOS Base Handbuch.

Volume <code>IP Access</code>

Abb. 4.1: Volume IP Access


HELIOS Website © 2020 HELIOS Software GmbH  
HELIOS Handbücher 10. September 2020