Inhouse Filesharing

Wenn ihr schon einen ESXi habt, schau dir oben den Link zu Liquidfiles an. Das ist eine fertige VM Appliance, genau für euren Bedarf. die jährlichen Kosten sind bei einer relativ kleinen Anzahl an Mitarbeitern überschaubar - und Support ist auch mit dabei.
 
Nilson schrieb:
Sowas packt man doch nicht in die DMZ ... Da laufen auch Dienste drauf (wie z.B. smb) die nicht ins Internet gehören ... Man leitet die Ports weiter die man braucht und gut ist.

1. Nur weil der Server in der DMZ steht, heißt es nicht, dass er komplett aus dem Internet erreichbar ist...!? Auch wenn ein Server in einer DMZ steht, werden nur die benötigten Ports freigeben.
2. Warum sollte da automatisch SMB drauf laufen?
3. Wenn man die Ports weiterleitet und der Dienst (Nextcloud) hat eine Sicherheitslücke, wäre ein potentieller Angreifer direkt im internen Netz. Daher die DMZ.
 
1. Bei nem üblichen Heimrouter wird bei DMZ alles auf das Ziel weitergeleitet.
2. Automatisch nicht, aber wenn man intern darauf zugreifen will, ist smb unter Windows die Wahl
3. siehe 1
 
@Nilson DMZ heißt aber auch: Zugriffe sind hinter einer Firewall und so ein Konstrukt, dass der TE vor hat, baut man dann eben mit mehreren NICs:
eth0 erlaubt z.B. nur eingehend SSH per public key und/oder 2FA für den Admin.
eth1 erlaubt eingehend SMB/CIFS von den PCs der Anwender mit entsprechenden Berechtigungen.
eth2 erlaubt aus dem internen Netz und aus Richtung Internet Zugriff auf das Webinterface.
Der TE will dies beruflich betreiben. Daher unterstelle ich mal brauchbare Router und Firewalls und keine Fritzbox.

Bonuspunkte für eine WAF und/oder filternden Reverse Proxy und SMB und Webserver kann man auch auf mehr als einen Server aufteilen und erlaubt entsprechend wieder abgesicherte Kommunikation nur zwischen den Servern über festgelegte Wege und Methoden

Niemand zwingt dich, bestimmte Dienste einfach auf allen Interfaces lauschen zu lassen, es machen halt nur viel zu viele Admins oder solche, die sich so nennen, teils aus Unwissenheit oder weil ihnen Sicherheit egal ist oder es der Auftraggeber/Chef nicht will.
Wenn dem so ist, lasse ich mir dies inzwischen schriftlich bestätigen, weise auf die Gefahren und Risiken hin lehne jedwede Verantwortung und Haftung ab. Mag zwar in den meisten Fällen (leider) trotzdem gut gehen aber für den einen Fall wo das nicht so ist, soll sich ein anderer Dummer finden, der dafür die Schelte bekommt.
 
  • Gefällt mir
Reaktionen: TheCadillacMan
Nilson schrieb:
Bei nem üblichen Heimrouter wird bei DMZ alles auf das Ziel weitergeleitet.
Das ist ein Exposed Host und keine DMZ. Nur weil manche Hersteller das fälschlicherweise als DMZ bezeichnen ist es noch keine.
Die Nextcloud-Doku empfiehlt die Installation in einer DMZ (im Sinne von Firewall zum Internet und Firewall zum internen Netz).

SMB auf den Nextcloud-Server würde ich übrigens überhaupt nicht erlauben, weil ich nicht wüsste wofür der gut sein soll.
Direkt in das data-Directory darf man meines Wissen sowieso nicht schreiben, sodass man für den Zugriff sowieso über den Client bzw. HTTP gehen muss.
Einzig das data-Directory auf eine Freigabe im internen Netz zu packen könnte ich mir theoretisch noch vorstellen. Wobei der SMB-Zugriff aber in die andere Richtung ginge.
 
Nilson schrieb:
1. Bei nem üblichen Heimrouter wird bei DMZ alles auf das Ziel weitergeleitet.
2. Automatisch nicht, aber wenn man intern darauf zugreifen will, ist smb unter Windows die Wahl
3. siehe 1

1. Hier geht es aber um ein Konstrukt in einer Firma und kein Gefrickel mit einem Heimrouter. Die werden vernünftige Router/Firewalls haben.
2. Wenn da Nextcloud oder ein ähnlicher Service drauf läuft, greift man nicht per SMB auf den Server zu.
3. siehe 1
 
Ok ok, ich ziehe meine Aussage zurück und behaupte das Gegenteil ;)
 
gaym0r schrieb:
1. Hier geht es aber um ein Konstrukt in einer Firma und kein Gefrickel mit einem Heimrouter. Die werden vernünftige Router/Firewalls haben.
2. Wenn da Nextcloud oder ein ähnlicher Service drauf läuft, greift man nicht per SMB auf den Server zu.
3. siehe 1
Ja, die haben wir :)
Ich schau mir auch nochmal die Dokus an wie Owncloud das empfiehlt. Das lässt sich dann ja auf alle anderen Hersteller, falls wir uns noch umentscheiden, ausweiten.

Danke schon mal für euren Input :daumen:
 
Zurück
Oben