Discussion:
Frage zur Mac OS X Server Firewall
(zu alt für eine Antwort)
Daniel Meszaros
2010-03-31 09:44:49 UTC
Permalink
Hallo,

ich wurde mit einem recht merkwürdigen Problem am Mac OS X Server
(10.6.2) konfrontiert:

Und zwar ist auf der internen Netzwerkkarte (bzw. im
192.168.1.0/24-Netz) keinerlei Restriktion konfiguriert, aber
DHCP-Requests von einem Linux- und einem Windows-Client werden erst
angenommen, wenn der DHCP-Service per Server-Admin/Firewall-GUI auch bei
"beliebig" freigeschaltet wird.

Damit ist der lokale DHCP-Server dann aber auch aus dem Internet
erreichbar, was nicht erwünscht ist.

Ein MacOSX-Client bekommt derweil brav eine IP-Adresse zugeordnet, egal
ob DHCP bei "beliebig" aktiv oder inaktiv ist.

Vor dem Hintergrund, dass der Besitzer des Servers die Firewall selbst
(und zwar grafisch) konfigurieren will, kann ich ihn nicht wirklich
davon überzeugen, stattdessen auf ein ipfw-Script umzuschwenken.

Was kann ich ihm empfehlen? Einen Router mit separater Firewall vor die
externe Netzwerkkarte stellen? :-/

Einziger, aber nicht wirklich passabler Workaround bislang: Feste
IP-Adressen an den Clients.

Was taugen alternative Firewall-Administrations-GUIs? Oder liegt ein
Bedienungsfehler an der Server-Admin-GUI vor?

CU,
Mészi.
Ralph Böhme
2010-03-31 10:03:39 UTC
Permalink
Post by Daniel Meszaros
Hallo,
ich wurde mit einem recht merkwürdigen Problem am Mac OS X Server
Und zwar ist auf der internen Netzwerkkarte (bzw. im
192.168.1.0/24-Netz) keinerlei Restriktion konfiguriert, aber
DHCP-Requests von einem Linux- und einem Windows-Client werden erst
angenommen, wenn der DHCP-Service per Server-Admin/Firewall-GUI auch bei
"beliebig" freigeschaltet wird.
Damit ist der lokale DHCP-Server dann aber auch aus dem Internet
erreichbar, was nicht erwünscht ist.
Ein MacOSX-Client bekommt derweil brav eine IP-Adresse zugeordnet, egal
ob DHCP bei "beliebig" aktiv oder inaktiv ist.
Vor dem Hintergrund, dass der Besitzer des Servers die Firewall selbst
(und zwar grafisch) konfigurieren will, kann ich ihn nicht wirklich
davon überzeugen, stattdessen auf ein ipfw-Script umzuschwenken.
Was kann ich ihm empfehlen? Einen Router mit separater Firewall vor die
externe Netzwerkkarte stellen? :-/
Einziger, aber nicht wirklich passabler Workaround bislang: Feste
IP-Adressen an den Clients.
Was taugen alternative Firewall-Administrations-GUIs? Oder liegt ein
Bedienungsfehler an der Server-Admin-GUI vor?
Ich würde ersmal mit nem Netzwerksniffer schauen was Sache ist.

Gruß Ralph
--
s/-nsp// for mail
Daniel Krebs
2010-03-31 19:06:12 UTC
Permalink
Post by Ralph Böhme
Ich würde ersmal mit nem Netzwerksniffer schauen was Sache ist.
An der Stelle des OP würde ich erstmal ein Buch lesen, sonst hilft ihm
der Sniffer auch nicht weiter.
Empfehlung:
<http://www.amazon.de/Bridges-Router-Switches-Internetworking-Protokolle
/dp/3827320933/ref=sr_1_2?ie=UTF8&s=books&qid=1270058484&sr=8-2>
Vielleicht nicht das beste, aber für Einsteiger sehr empfehlenswert, da
es leicht verständlich ist.
Daniel
--
"Veganer:
Die, die ihre Kinder nicht säugen,
weil das für die Mutter Tierquälerei wäre."
Wau Holland
Ralph Böhme
2010-03-31 19:33:04 UTC
Permalink
Post by Daniel Krebs
Post by Ralph Böhme
Ich würde ersmal mit nem Netzwerksniffer schauen was Sache ist.
An der Stelle des OP würde ich erstmal ein Buch lesen, sonst hilft ihm
der Sniffer auch nicht weiter.
<http://www.amazon.de/Bridges-Router-Switches-Internetworking-Protokolle
/dp/3827320933/ref=sr_1_2?ie=UTF8&s=books&qid=1270058484&sr=8-2>
Vielleicht nicht das beste, aber für Einsteiger sehr empfehlenswert, da
es leicht verständlich ist.
Daniel
Perlman? Fürn Einstieg? Ach was!
<http://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol> lesen,
Wireshark anwerfen und gucken.

Gruß Ralph
--
s/-nsp// for mail
Daniel K®ebs
2010-03-31 12:26:42 UTC
Permalink
Post by Daniel Meszaros
Damit ist der lokale DHCP-Server dann aber auch aus dem Internet
erreichbar, was nicht erwünscht ist.
Ist er das? Ohne gewisse Vorkehrungen auf der Gegenseite (IP helper)
oder DHCP relay werden keine DHCPDISCOVER von außen bei ihm ankommen.
Oder meinst Du mit "erreichbar" andere Dienste?
Daniel
--
"Pff, Köln ist eh das Microsoft unter den deutschen Städten.
Der Kölner hört von irgendwelchen unbekannten Konzepten (z.B.
Bier oder Humor), versteht sie nicht, kopiert sie aber dennoch."
Marc Wieden
Daniel Meszaros
2010-03-31 12:12:23 UTC
Permalink
Hi!
Post by Daniel K®ebs
Post by Daniel Meszaros
Damit ist der lokale DHCP-Server dann aber auch aus dem Internet
erreichbar, was nicht erwünscht ist.
Ist er das? Ohne gewisse Vorkehrungen auf der Gegenseite (IP helper)
oder DHCP relay werden keine DHCPDISCOVER von außen bei ihm ankommen.
Oder meinst Du mit "erreichbar" andere Dienste?
Danke für die aufklärenden Worte.

Es geht erst einmal nur um den "DHCP-Server". Wohler wäre mir allerdings
schon, wenn man die Firewall nicht (nur) nach Subnetzen, sondern (auch)
nach Netzwerkschnittstellen konfigurieren könnte. Die
Konfigurationsoberfläche des Server-Admins scheint das nicht zu leisten. :-/

CU,
Mészi.
Daniel Krebs
2010-03-31 18:41:24 UTC
Permalink
Post by Daniel Meszaros
Hi!
Post by Daniel K®ebs
Post by Daniel Meszaros
Damit ist der lokale DHCP-Server dann aber auch aus dem Internet
erreichbar, was nicht erwünscht ist.
Ist er das? Ohne gewisse Vorkehrungen auf der Gegenseite (IP helper)
oder DHCP relay werden keine DHCPDISCOVER von außen bei ihm ankommen.
Oder meinst Du mit "erreichbar" andere Dienste?
Danke für die aufklärenden Worte.
Es geht erst einmal nur um den "DHCP-Server". Wohler wäre mir allerdings
schon, wenn man die Firewall nicht (nur) nach Subnetzen, sondern (auch)
nach Netzwerkschnittstellen konfigurieren könnte. Die
Konfigurationsoberfläche des Server-Admins scheint das nicht zu leisten. :-/
Ist das bei DHCP nötig?
DHCPDISCOVER verläßt eine broadcast domain nicht.
Du kannst doch mit VLANs arbeiten, wenn Dir das im LAN nicht passt.
Daniel
--
"Veganer:
Die, die ihre Kinder nicht säugen,
weil das für die Mutter Tierquälerei wäre."
Wau Holland
Loading...