epic Geschrieben 13. Januar 2005 Teilen Geschrieben 13. Januar 2005 Hallo, meine Frage is im Prinzip schon aus dem Titel erkennbar, ist es (problemlos) möglich einen Samba und einen Squid auf einer Maschine laufen zu lassen, ohne dass es irgendwelche Konflikte oder Sicherheitseinbußungen gibt? Es soll ein Client-Server System mit 20-50 Clients errichtet werden, und um das Soll-Konzept fertig zu stellen müsste ich wissen ob ich dafür einen oder doch eher zwei Rechner nehmen sollte, vorteilhaft im Sinne des Budgets wäre natürlich einer. Die Konfiguration von Samba und Proxy wäre überhaupt kein Problem, auch über verschiedene Netzwerkkarten oder eine Karte mit verschiedenen IPs. Wäre schön wenn mir jemand explizit zu diesem Problem weiterhelfen könnte. Danke und MfG epic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 13. Januar 2005 Teilen Geschrieben 13. Januar 2005 Rein theoretisch und praktisch auch geht das alles auf einem Rechner. Aber wenn man Sicherheit haben möchte, sollte man den Fileserver auf einen anderen Rechner legen. Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
epic Geschrieben 13. Januar 2005 Autor Teilen Geschrieben 13. Januar 2005 was heisst genau wenn man Sicherheit haben möchte?? auf den Squid an sich soll ja keiner der User administrativen Zugang haben, im optimalfall soll der User gar nicht wissen das ein Proxy vorhanden ist. Der Samba dient in dem Netzwerk auch als PDC, also "security=user" in der [GLOBAL], jedem User wird sein Home-Laufwerk zugewiesen, sowie ein bestehendes Public-LW für die entsprechende Gruppe. können proxy und samba über diesselbe ip-adresse laufen, oder führt das zu problemen. Hat jemand vielleicht praktische Erfahrungen mit so einer Durchführung gesammelt? achja... hauptproblematik ist : wenn jemand von aussen auf den proxy eindringt.... könnte er natürlich ohne weiteres zugriff auf die samba-shares haben, also zusätzlich noch iptables und/oder router zwischen proxy und i-net... (einigermaßen) sichere Lösung?!?! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 13. Januar 2005 Teilen Geschrieben 13. Januar 2005 achja... hauptproblematik ist : wenn jemand von aussen auf den proxy eindringt.... Ähhh, als ich würde doch mal davon ausgehen das die Maschine mit Squid && Samba vom Internet aus NICHT zu erreichen sein sollte? Der Squid muss ja nur "nach draussen" ins Internet und muss nicht "von aussen" erreichbar sein. Oder liege ich da falsch? Ansonsten sollte die Maschine eben "ausreichend" leistungsstark sein was CPU, RAM, Netzwerk && Platen I/O (!) angeht. Was jetzt "ausreichend" in diesem Fall genau bedeuten soll? Sorry... keine Erfahrungswerte. ;-) Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alligator Geschrieben 13. Januar 2005 Teilen Geschrieben 13. Januar 2005 Hallo, ich kann dir nur davon abraten einen sicherheitskritischen Fileshare auf einen Server zu legen, der Zugriff ins Internet hat. Ein Squid mit I-Net-Zugriff gehört in eine DMZ und ein Samba-Fileshare/PDC gehört in das interne Netzwerk (Trusted Area). cya alligator Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
epic Geschrieben 14. Januar 2005 Autor Teilen Geschrieben 14. Januar 2005 danke für deine antwort alligator. das war eben meine befürchtung, nur falls u.U. die finanziellen mittel für einen 2ten server fehlen, wobei ein reiner squid-server ja kaum groß leistung benötigt, reichen iptables auf dem server und ein nat-router der die einwahl vornimmt zwischen dem server und dem wan ? danke und mfg epic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 14. Januar 2005 Teilen Geschrieben 14. Januar 2005 ...ich kann dir nur davon abraten einen sicherheitskritischen Fileshare auf einen Server zu legen, der Zugriff ins Internet hat. ... Hallo Alligator, dann kannst Du mir sicher auch erklären warum? Ich meine wo ist der Unterschied zwischen einem Client oder Server im LAN, der via Proxy mit den Ports für FTP, HTTP und HTTPS ins Internet kommt, und einem Server im LAN mit installierten Squid, der quasi "direkt" für bestimmte Ports ins Internet darf? Beide Maschinen wären ja überhaupt nicht vom Internet aus zu erreichen. *verwirrt bin* Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
epic Geschrieben 14. Januar 2005 Autor Teilen Geschrieben 14. Januar 2005 @ system error : falls sich keine dedizierte firewall zwischen dem proxy und dem internet. z.B in form eines nat/pat routers, befindet, bietet der proxy natürlich eine gewisse angriffsfläche für zugriffe aus dem internet, das kann dann ungemütlich werden, wenn der proxy sich in demselben LAN befindet wie die zu "schützenden" clients oder server, fazit -> ab in eine dmz mit dem proxy. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 14. Januar 2005 Teilen Geschrieben 14. Januar 2005 ...falls sich keine dedizierte firewall zwischen dem proxy und dem internet. z.B in form eines nat/pat routers, befindet... OK. Jetzt hab ichs verstanden. Bin jetzt einfach mal stilschweigend davon ausgegangen jeden Fall eine Firewall das gesamte LAN (mit Clients & Servern) schützt. Diese Firewall würde dann nur den Squid auf besagten Ports nach draussen lassen; aber eben nichts ins LAN rein lassen. Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.