ComputerBase Menü
Aktuelles

Inhouse Filesharing

Wenn ihr schon einen ESXi habt, schau dir oben den Link zu Liquidfiles an. Das ist eine fertige VM Appliance, genau für euren Bedarf. die jährlichen Kosten sind bei einer relativ kleinen Anzahl an Mitarbeitern überschaubar - und Support ist auch mit dabei.
 
Nilson schrieb:
Sowas packt man doch nicht in die DMZ ... Da laufen auch Dienste drauf (wie z.B. smb) die nicht ins Internet gehören ... Man leitet die Ports weiter die man braucht und gut ist.
Zum Vergrößern anklicken....

1. Nur weil der Server in der DMZ steht, heißt es nicht, dass er komplett aus dem Internet erreichbar ist...!? Auch wenn ein Server in einer DMZ steht, werden nur die benötigten Ports freigeben.
2. Warum sollte da automatisch SMB drauf laufen?
3. Wenn man die Ports weiterleitet und der Dienst (Nextcloud) hat eine Sicherheitslücke, wäre ein potentieller Angreifer direkt im internen Netz. Daher die DMZ.
 
1. Bei nem üblichen Heimrouter wird bei DMZ alles auf das Ziel weitergeleitet.
2. Automatisch nicht, aber wenn man intern darauf zugreifen will, ist smb unter Windows die Wahl
3. siehe 1
 
@Nilson DMZ heißt aber auch: Zugriffe sind hinter einer Firewall und so ein Konstrukt, dass der TE vor hat, baut man dann eben mit mehreren NICs:
eth0 erlaubt z.B. nur eingehend SSH per public key und/oder 2FA für den Admin.
eth1 erlaubt eingehend SMB/CIFS von den PCs der Anwender mit entsprechenden Berechtigungen.
eth2 erlaubt aus dem internen Netz und aus Richtung Internet Zugriff auf das Webinterface.
Der TE will dies beruflich betreiben. Daher unterstelle ich mal brauchbare Router und Firewalls und keine Fritzbox.

Bonuspunkte für eine WAF und/oder filternden Reverse Proxy und SMB und Webserver kann man auch auf mehr als einen Server aufteilen und erlaubt entsprechend wieder abgesicherte Kommunikation nur zwischen den Servern über festgelegte Wege und Methoden

Niemand zwingt dich, bestimmte Dienste einfach auf allen Interfaces lauschen zu lassen, es machen halt nur viel zu viele Admins oder solche, die sich so nennen, teils aus Unwissenheit oder weil ihnen Sicherheit egal ist oder es der Auftraggeber/Chef nicht will.
Wenn dem so ist, lasse ich mir dies inzwischen schriftlich bestätigen, weise auf die Gefahren und Risiken hin lehne jedwede Verantwortung und Haftung ab. Mag zwar in den meisten Fällen (leider) trotzdem gut gehen aber für den einen Fall wo das nicht so ist, soll sich ein anderer Dummer finden, der dafür die Schelte bekommt.
 
  • Gefällt mir
Reaktionen: TheCadillacMan
Nilson schrieb:
Bei nem üblichen Heimrouter wird bei DMZ alles auf das Ziel weitergeleitet.
Zum Vergrößern anklicken....
Das ist ein Exposed Host und keine DMZ. Nur weil manche Hersteller das fälschlicherweise als DMZ bezeichnen ist es noch keine.
Die Nextcloud-Doku empfiehlt die Installation in einer DMZ (im Sinne von Firewall zum Internet und Firewall zum internen Netz).

SMB auf den Nextcloud-Server würde ich übrigens überhaupt nicht erlauben, weil ich nicht wüsste wofür der gut sein soll.
Direkt in das data-Directory darf man meines Wissen sowieso nicht schreiben, sodass man für den Zugriff sowieso über den Client bzw. HTTP gehen muss.
Einzig das data-Directory auf eine Freigabe im internen Netz zu packen könnte ich mir theoretisch noch vorstellen. Wobei der SMB-Zugriff aber in die andere Richtung ginge.
 
Nilson schrieb:
1. Bei nem üblichen Heimrouter wird bei DMZ alles auf das Ziel weitergeleitet.
2. Automatisch nicht, aber wenn man intern darauf zugreifen will, ist smb unter Windows die Wahl
3. siehe 1
Zum Vergrößern anklicken....

1. Hier geht es aber um ein Konstrukt in einer Firma und kein Gefrickel mit einem Heimrouter. Die werden vernünftige Router/Firewalls haben.
2. Wenn da Nextcloud oder ein ähnlicher Service drauf läuft, greift man nicht per SMB auf den Server zu.
3. siehe 1
 
Ok ok, ich ziehe meine Aussage zurück und behaupte das Gegenteil ;)
 
gaym0r schrieb:
1. Hier geht es aber um ein Konstrukt in einer Firma und kein Gefrickel mit einem Heimrouter. Die werden vernünftige Router/Firewalls haben.
2. Wenn da Nextcloud oder ein ähnlicher Service drauf läuft, greift man nicht per SMB auf den Server zu.
3. siehe 1
Zum Vergrößern anklicken....
Ja, die haben wir :)
Ich schau mir auch nochmal die Dokus an wie Owncloud das empfiehlt. Das lässt sich dann ja auf alle anderen Hersteller, falls wir uns noch umentscheiden, ausweiten.

Danke schon mal für euren Input :daumen:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
NAS Kaufberatung: Fileshare, Domaincontroller + USV
Antworten
9
Aufrufe
923
SpiII
SpiII
S
  • Gesperrt
Wird nur Filesharing bestraft?
Antworten
8
Aufrufe
721
Smily
Smily
H
Filesharing langsam wegen Huthi Rebellen?
Antworten
16
Aufrufe
1.397
Lee Monade
L
D
  • Gesperrt
VPN für Filesharing
Antworten
6
Aufrufe
1.384
Markchen
Markchen
S
Wie findet ein Filesharing Tool andere Computer?
Antworten
6
Aufrufe
1.314
Piecemaker
Piecemaker
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz