Nov 22, 2023

1582

Samba Share nur auf einer IP-Adresse bei mehreren Adaptern

Moin Gemeinschaft,

ich setze gerade ein Samba-Share auf das nur innerhalb eines VLANs sichtbar seien soll.

Es gibt 2 Netzwerkadapter einmal ens160 = 10.1.0.250 und ens192 = 10.1.40.252

[switch-configs]
    # Gastzugang ohne Passwort
    path = /srv/switch-configs
    comment = Public
    read only = no
    guest ok = yes
    guest only = yes

Das funktioniert insofern das der Share auf dem Adapter 1 (10.1.0.250) erreichbar ist, aber nicht unter Adapter 2 (10.1.40..), leider sollte es aber genau andersrum sein das ich nur über \\10.1.40.252\switch-configs darauf zugreifen kann. Auf diesen Share sollen die Switche die sich in diesem VLAN befinden in Zukunft ihre Configs hin schicken.

Ich habe es ausprobiert mit:

bind interfaces only = yes
interfaces = ens192

hat aber leider nichts gebracht.

Hat hier jemand eine Idee zu?

Viele Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 42138111478

Url: https://administrator.de/contentid/42138111478

Printed on: May 2, 2024 at 11:05 o'clock

5 Comments

Latest comment

Hallo

was sagt:

netstat -nat

Moin,

was sagt:

netstat -nat

tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:9443            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN
tcp        0      0 10.1.0.250:445          0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:445         0.0.0.0:*               LISTEN
tcp        0      0 10.1.0.250:139          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:139         0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:33060         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0    280 10.1.0.250:22           10.1.0.4:53444          ESTABLISHED
tcp        0      0 10.1.0.250:49148        35.232.111.17:80        TIME_WAIT
tcp6       0      0 :::8000                 :::*                    LISTEN
tcp6       0      0 :::9443                 :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 ::1:631                 :::*                    LISTEN

alternativ: netstat -an | grep LISTEN | grep -e 139 -e445

tcp        0      0 10.1.0.250:445          0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:445         0.0.0.0:*               LISTEN
tcp        0      0 10.1.0.250:139          0.0.0.0:*               LISTEN
tcp        0      0 10.1.40.252:139         0.0.0.0:*               LISTEN

Zusätzlich

Ich habe es gerade mal getestet. Lokal komme ich auf den share über smbclient

smbclient //10.1.40.252/switch-configs
Password for [WORKGROUP\administrator]:
Try "help" to get a list of possible commands.  
smb: \>

An der Firewall sollte es nicht liegen da ich aus meinem VLAN heraus vollzugriff auf das VLAN habe indem der share angezeigt werden soll.

Das funktioniert insofern das der Share auf dem Adapter 1 (10.1.0.250) erreichbar ist, aber nicht unter Adapter 2 (10.1.40..)

Sofern du nichts einschränkst im Samba Setup des Servers sind die Shares generell aus allen direkt am Server angeschlossenen Segmenten gleichsam mit einem dortigen Client zu erreichen.

Wenn du nur über den 10.1.0.250 er Adapter willst müsste ja der Server selber routen wenn du den 40er Adapter erreichen willst.
In dem Falle müsste in der /etc/sysctl.conf das Kommentarzeichen "#" vor der Zeile net.ipv4.ip_forward=1 entfernt werden. Danach rebooten oder den Netzwerk Stack neu starten.
⚠️ Aber Vorsicht!
Damit hast du dir über den Server dann einen Backdoor Router geschaffen der die Firewall aushebelt und dann die beiden IP Netze 10.1.0.0 /24 und 10.1.40.0 /24 ohne Sicherung direkt verbindet.
Da solltest du dann zwingend iptables oder nftables auf dem Server aktivieren um Zugriffe zu unterbinden bzw. lediglich auf die Host IP mit TCP 445 zulässt.
So ein Setup wird mit Sicherheit wohl nicht deine Intention, sein oder?

Das klingt logisch. Ich werde das indemfall definitiv nicht machen.

So ist das halt wenn man versucht eine bestehende Struktur zu zweckentfremden. Ich werden den Server neu aufbauen im 1400 Vlan. Da ich sowieso zugriff von meinem VLAN aus auf das habe sollte es kein Problem sein zu administrieren.

Danke für die Hinweise.

Ich werden den Server neu aufbauen im 1400 Vlan.

Eine weise Entscheidung! 😉
Security macht in einem segmentierten Design bekanntlich immer die Infrastruktur in Form von Firewall oder Router/Switch ACLs.

German solved Question Samba

Hotly discussed

End of availability for classic Teams clientDani - 2 Comments

Ubuntu 24.04 LTS Noble Numbat availableFrank

Developer diary: Release 6.1admtech