Kann man den VNC-Zugriff, den man zuvor in Systemeinstellungen Sharing Apple Remote Desktop freigegeben hat irgendwie einschränken? Er ist zwar passwortgeschützt aber mich stört, dass der Port völlig offen ist und auf alles und jeden lauscht.
Genauer geht es um einen OSX Server, bei dem ich VNC aktiviert habe. Nun könnte ich mir z.B. vorstellen, dass ich mich per VPN mit dem Server verbinde und VNC dann nur nach den privaten IPs lauscht, die mein VPN-Client zuvor bekommen hat.

Ich würde das in der Netz-Infrastruktur davor lösen. Also Zugriffe auf Port soundso des Servers nur vom VLAN hassenichgesehn (in dem Fall das private Netz) erlauben. Natürlich davon ausgehend, dass die Infrastruktur ordentlich aufgebaut wurde (was ich dir aber duchaus zutraue )

Es gibt keinen Router, bzw. keinen auf den ich Einfluss habe, da die "Netz-Infrastruktur davor" das Internet ist.

Muss mal `ne Weile weg ...
Melde mich wieder.

jogotoNa ja, dann ist halt die IPFW auf dem Server von Hand anzupassen.

wheeler

Es ist das Rechenzentrum und ARD ist mir für einmal pro Jahr für etwas, was ich nicht mit den Servertools oder SSH, also Terminal, machen kann zu teuer. Da schalte ich lieber VNC ab und fahre ins Rechenzentrum.


derondi

Ja, soweit ich mich da eingearbeitet habe schien mir das auch die Möglichkeit, aber so richtig durchsteigen tue ich da noch nicht.

Nun ja du kannst die Verbindungen alle über SSH tunneln, dann ist nur ein Port offen. Und per SSH ist sowieso festgelegt wer eine Verbindung öffnen darf.

So hier der Link dazu dank MacMark:

wenn du einen Mac OS X Server hast, dann kannst du doch ganz bequem in den Firewalleinstellungen eine neue Gruppe erstellen und für diese Gruppe ARD oder VNC erlauben und für alle anderen verbieten.

rofl

SSH klingt interessant. Nur muss VNC am Server (die Einstellungen in Sharing) dann an (Port ist offen) oder aus sein?


larsvader

Mit Gruppe meinst Du eine IP-Adressgruppe, oder?

Der VNC auf deinem Mac muss laufen. Nicht zwangsläufig der von Apple. Die Firewall darf den Port aber blocken. Denn die SSH Verbindung wählt sich in deinen Rechner ein. Dh der VNC wird lokal angesprochen.

rofl

Funktioniert, danke.
Nur eine Sache noch. Anscheinend muss der Befehl auf MacMarks Seite tatsächlich in zwei Zeilen geschrieben werden. Wie komme ich im Terminal in die nächste Zeile?


larsvader

Also das blocken von VNC hat funktioniert. Leider komme ich bei aktiver Firewall auch nicht mehr per VPN drauf, obwohl der entsprechende Port 1701 offen ist. Muss ich noch welche aufmachen?

Das \ Zeichen bedeutet Zeilenumbruch, mach es weg, dann passt es auch in eine Zeile...

Danke, passt.

jogoto: genau weiß ich es auch nicht, aber für pptp brauch man port 1723 und das GRE-Protokoll, ESP kann für IPSec auch nicht schaden denke ich (zweite und dritte von oben in den FW-Regeln
Lies am besten mal bei Wikipedia über IPSec, da steht es garantiert.

larsvader

500 und 4500 waren noch nötig. Ich hab es dann über das Protokoll herausgefunden.
Jetzt stehe ich schon wieder vor dem nächsten Problem. Diese Firewall ist echt ein Studium für sich. Ich hab bei Apple schon mal eine Portliste gesehen aber leider keine die angibt, in welcher Beziehung die Ports für bestimmte Anwendungen stehen.

Wir reden hier jetzt aber von mehreren paar Schuhen.
Ausreichen würdest es meiner Meinung nach sich per SSH auf den Server zu verbinden. Dann ist nach aussen nur ein Port offen.
Die VPN Geschichte wäre auch nicht mehr nötig. Denn wenn ich eine Verbindung auf den Rechner habe, bin ich auch dort im lokalen Netz.
Dateien kannst du dann über diesen Rechner verschieben.

rofl

Schon klar, dass das zwei getrennte Wege sind. Mit VPN habe ich auch keine Probleme. Ich muss nur bei jeder Änderung nun schauen, wie ich die "Firewall" anpassen muss. Ein Beispiel: Webserver funktioniert, schalte ich allerdings den Blog ein ist dir Seite nicht mehr zu erreichen. Im Moment ist sowieso alles nur Spielerei und Ausprobieren, da ich zum ersten mal die Chance habe einen OSX Server im Web zu testen. Seither war alles immer nur lokal.

Nur zur Info ein Webserver steht normalerweise außerhalb des eigenen Netzes!

rofl
Äh, ja? Jetzt stehe ich auf dem Schlauch und weiß nicht was Du mir damit sagen willst.

Also wenn man einen Webserver betreibt sollte der nicht im eigenen privaten Netz stehen, sondern quasi zwischen Provider und eigenem Netz, gerne auch mal DMZ genannt.
Somit sind Angriffe auf den recht offenen Webserver nicht gleich Angriffe auf das Netz.

rofl

Ok, jetzt verstehe ich. Ich hatte es weiter oben schon mal erwähnt: der Server steht in einem Rechenzentrum, also "direkt im Internet". Das "private Netz dahinter" besteht im Moment aus der zweiten eingebauten Netzwerkkarte.

Kannst Du die VNC-Ports nicht einfach im Router sperren bzw. nicht weiterleiten lassen?
Dann müßten doch eigetnlich nur die VPN-Ports offen sein, über die dann die EInwahl geschieht und die VNC-Signale getunnelt werden. Oder täusche ich mich da?

Das heißt, daß Dein Server direkt über ein DSL-Modem online geht oder hast du einen fernverwalteten Server in einem Rechenzentrum stehen?

Noch eine Frage: Warum setzt Du nicht ARD ein? Das kann von den Sicherheitsfunktionen um einiges mehr als VNC und auch die VErwaltung und Steuerung ist deutlich angenehmer...