-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo ;-)
Gerhard Brauer wrote: > Kann ich nichts dazu sagen, mu�t du halt austesten. Die Frage ist > allerdings: was versprichst du dir davon? Ich hab halt das Problem, dass unser jetziges NAS (auf der NFS Seite) zu �blen H�ngern neigt, wenn die Netzwerklast zu gro� wird. Und in diesem Fall wird es wohl an den Fragmenten der NFS-UDP Pakete h�ngen. Freuen w�rde ich mich ja, wenn ich TCP zur �bertragung nutzen k�nnte, doch das ist selbst in einem 2.6er Kernel noch 'experimental' und ein altes Unix wie Solaris 5 wird damit nichts anfangen k�nnen. Setzt man die wsize und rsize herab, ist zwar die Sache mit den Fragmenten besser, aber aufgrund des Overheads der Durchsatz miserabel (gut, das w�re nicht das schlimmste). Ein Problem mit unserem Netzwerk ist auch, dass wir ein einziges Subnetz haben, ca. 800 Rechner und nur Layer 2 Switches. Das erzeugt ungemein viel ARP-Pakete (dank der Windowsrechner, die alle 10 Minuten ihre ARP-Tabellen verwerfen), die dann trotz der Switches zu Kollisionen und damit zu nicht reparierbaren Fragmenten bei den RPC-Aufrufen f�r NFS f�hren. Und dann muss der gesammte RPC-Aufruf erneut �bertragen werden. Und genau dort m�chte ich lieber etwas weniger Durchsatz, daf�r eine fl�ssigere Abarbeitung. M�glichkeit 1 ist rsize und wsize runtersetzen. Andererseits die MTU hoch, doch weiss ich nicht, ob man das einfach machen kann/darf. > *Was* willst du denn *warum* mit iptables absichern? Zugriff von au�en? > Aber auch diese Notwendigkeit der "Verwirrung" von Clients (und > "Angreifer-Clients) erschlie�t sich mir nicht. Jedenfalls nicht als > Allheilmittel. Zur Aufkl�rung: Der Rechner um den es hier geht, steht schon in einem LAN hinter einer Firewall. Von daher ist die Sicherheit in Richtung Internet ohne weiteres gegeben und in diese Richtung braucht es auch keine Zugriffe. Anderes Problem sind Netzwerkscanner von innerhalb des Netzes und die Zugriffe auf andere Ports auf dem Rechner, als die die zu NFS geh�ren (wo hier eben f�r iptables genau das Problem besteht, das der Portmapper die Ports zuweist und ich aber f�r iptables die Ports kennen m�sste). Was ich erreichen will ist folgendes: Der Server soll nach aussen hin nur f�r einen bestimmten Adressbereich NFS annehmen, was auch kein Problem ist, daf�r ist die /etc/exports gut. Nur, was tun, wenn sich jemand einen Rechner schnappt und die IP �ndert? In diesem Fall w�re ich gerne in der Lage, den Zugriff auf bestimmte MAC Adressen einzugrenzen, das ginge eben mit iptables (hatte ich mal gelesen). Zum anderen steht der Rechner sp�ter in einem abgeschlossenen Raum und muss von aussen administriert werden (per SSH). Und hier w�rde ich eben auch gerne nur bestimmte Rechner (MAC Adressen) zulassen wollen und f�r alle anderen soll der Port einfach als "dicht" erscheinen, damit die Versuchung nicht allzu gro� wird. > Welche Probleme hast du denn eigentlich? Kommen deine Client-User an > Daten ran, die sie eigenlich nicht benutzen d�rfen? Dann hast du ein > grunds�tzliches Admin-Problem. Und dann n�tzt es auch nicht �ber die > Portreglung zu sagen: "Meine Vordert�r ist jetzt bittsch�n die > Hintert�r", wenn eben diese Hintert�r auch sperrangelweit offensteht. Nein, das ist wie gesagt kein Problem. Nur ich stimme Dir zu, das NFS eben ein unsicheres Filesystem ist (es findet ja keine Pr�fung des Nutzers statt, ich kann halt einfach mit einer UID ankommen, die mir vielleicht gar nicht geh�rt und bekomme dann trotzdem die Rechte - - daher ja auch unbedingt ein root_squash)- ich es leider wegen einigen Applikationen unter Solaris auch leider nicht �ndern kann. Aber die Benutzer und Gruppenrechte sind soweit auch erstmal ausreichend, sonst k�nnte ich ja auch XFS nehmen (wird es sogar in der Tat) und damit die ACLs. Die Sache mit der Festlegung der Ports sollte auch prim�r nicht der Sicherheit durch Verschleierung dienen. Aber NFS verwendet nunmal f�r einige Dinge wie statd und mountd den Portmapper und damit kann ich leider vor dem Starten einer iptables Firewall auf dem Server mir die unerw�nschten G�ste nicht vom Hals halten, da ich nicht weiss, welche Ports ich freigeben muss und welche ich sperren kann. > e) Die IMHO beste Methode bei h�herem Sicherheitsbed�rfniss ist, �ber > nfs ein verschl�sselndes Dateisystem zu exportieren (z.B. cfs). ACK - nur wie eben gesagt, leider nicht m�glich. > Das verstehe ich nicht. Wir haben aus irgendeinem Grund mehere Server, die periodisch alles was im Subnetz ist, auf dem Telnetport beispielsweise 'anpingen' (wo der Versuch jedoch abgelehnt wird, da kein Telnet vorhanden). Aber bei anderen Diensten, die laufen m�ssen (von einer eingesetzten Software her), ist es etwas dumm, wenn dadurch ein Prozess gestartet wird (ist ein inetd Ding), dieser dann die Verbindung ablehnt und sich wieder beendet. Das kostet bei relativ vielen Zugriffen (teilweise 10-15 pro Sekunde) einfach eine Menge an CPU und Speicherressoucen. Von der Seite her m�chte ich das gerne dahingehend unterbinden, dass eben nur die zugelassenen IPs/MACs auf dem Port den Dienst 'sehen' k�nnen, alle anderen aber nicht. Hab auch schon eine Menge gelesen und ist wohl etwas kniffellig. Alles w�re kein Problem mehr, w�re NFS mit den sich �ndernden Ports nicht. Dann w�rde iptables alles das erf�llen k�nnen, was ich gerne h�tte. Werd mal weiter forschen, ob ich es schaffen kann, _alle_ zu NFS geh�renden Dienste an einen festen Port zu binden - das ist genau das, was mir bisher nicht gelungen ist (aber wohl auch vielen anderen schon Kopfschmerzen bereitet hat, abgesehen von mir - erstaunlich was sich alles im Usenet und bei Google dazu findet). Jan -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFAZerGvvmCkIIgH8QRAjxsAKC64nANjiKl/9sV74q6p5bL7hnAzwCeKyhp oi3rIsS6TZyqi0jeurgOQ6s= =tC9j -----END PGP SIGNATURE----- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
