UCS direkt im public Internet?

german

#1

Hi,

wollte basierend auf Artikel einmal Kopano live testen.

Problem dabei ist aber, dass ich entweder den Server direkt in Internet stellen muss oder aber einen zweiten Root-Server nehmen und da ein internes LAN aufbauen darf.

Jetzt hat Univention ja von Hause aus iptables dabei. Und auch eine Menge Dienste aktiviert:

22/tcp open ssh 37/tcp open time 53/tcp open domain 80/tcp open http 88/tcp open kerberos-sec 111/tcp open rpcbind 389/tcp open ldap 443/tcp open https 464/tcp closed kpasswd5 544/tcp open kshell 636/tcp open ldapssl 749/tcp open kerberos-adm 2049/tcp closed nfs 5666/tcp open nrpe 7777/tcp open cbt 32768/tcp closed filenet-tms 32769/tcp closed filenet-rpc

Einige dieser Dienste sind sicherlich notwendig für Kopano. Aber eben doch nur auf localhost (ok, 22, 25 und 443 INPUT ausgenommen).

Mit den Firewallregeln in der Registry kann ich ja nicht nach Interface filtern, oder?

Wie kriege ich einen UCS ins Internet, ohne dass er offen ist wie ein Scheunentor aber dennoch alle Dienste lokal anbietet?

Danke!


#2

Hallo,

für die Möglichkeit, bei der Firewallkonfiguration einen Port angeben zu können gibt einen Enhancementrequest [bug]34411[/bug].

Die Definition, wie ein System im Internet mit Hinblick auf höhere Sicherheit zu konfigurieren wäre, ist stark vom Blickwinkel abhängig,
Der Default ist jedenfalls darauf ausgerichtet, dass alle installierten Komponenten problemlos funktionieren. Das machen m.E. mittlerweile alle so.

Wenn man jetzt ein UCS als Single-Server ins Internet stellen will, könnte man natürlich überlegen, die Ports, die nur für nicht zutreffende Anwendungsfälle geöffnet wurden, wieder zu schließen.
Man sollte aber bedenken, dass ggf. bestimmte Funktionen nicht zwingend über “localhost” gehen, sondern sich zum Beispiel den LDAP-Master aus dem Verzeichnis holen und dann die Public-IP nehmen.
Im SDB-Artikel Which TCP / UDP ports on the DC master must be accessable by other UCS systems? stehen die Ports, die in einer Installation ohne zusätzliche Applikationen benötigt werden und somit offen sein dürften.

Ein denkbarer Ansatz wäre zum Beispiel, die in der eigenen Definition nicht gewünschten Ports über die vorhandenen UCR-Variablen zu schließen und dann nach Bedarf in /etc/security/packetfilter.d/50_local.sh wieder mit den eigenen Regeln und somit auch inklusive Quell- und Zieladresse zu öffnen.

Viele Grüße,
Dirk Ahrnke


#3

Hi,

danke für die Hinweise. Die Problematik, dass manche Dienste die IP nehmen, habe ich nicht- das geht ja dann über VPN und läuft prima.

Es soll halt wirklich keiner auf die Dienste zugreifen können, die nicht öffentlich sind!

Ich habe jetzt tatsächlich mit ucr set alle geöffneten Ports (außer 22 und 443) wieder geblockt und nmap scheint auch zufrieden zu sein.
Werde den SErver jetzt ins Netz stellen, VPN einrichten und dann mal sehen, ob die Verbindung funktioniert.

Es gibt bestimm ein Befehl, mit dem man feststellen kann, ob sich der Slave mit dem Master syncronisiert?

/KNEBB


#4

Hallo.
eventuell hilft folgender SDB-Artikel: LDAP server and Listener/Notifier replication

Freundliche Grüße,
Oliver Kanzler