Netzwerk mit Linux und Windows. Woran muss gedacht werden?

[mclien]

Ich baue es mal hier bei Netzwerk ein, weil ich da die meisten Probleme vermute.
Darum geht es: Mein Bruder will nun endlich auch ein Netzwerk bei sich einrichten (lassen, von mir). Vermutlich ist er mit seinem "USB-Stick backup system" nicht mehr ganz zufrieden

Er hätte ganz gerne, dass dann nur Linux Rechner das interne Netz verlassen können. Hardware ist ausreichend vorhanden und für Server/router/switch hat er mal max 1000 EUR Budget angesagt.
Leider (aus meiner Sicht) hat er aber seinem Nachwuchs A einen iPod verschafft (was nach Aussage meines Neffen iTunes verlangt) und Nachwuchs B ein Photoshop. Und er selbst hat beruflich Software, die es wohl nur für Windows gibt (Wärme und Energiebedarfsrechnung für Häuser und ähnliches).
Mein Plan ist dann ein debian Server mit nfs und samba als "Datengrab" und interner Mailserver. Somit gits nur eine zentrale Stelle für Daten, was die backups dann auch erleichtert. Alle clients als dualboot win/linux.
Router wahrscheinlich openwrt/fli4l (evtl. soll der router auch als Faxgerät dienen).
Das Linux Zeug macht mir keine Sorgen, aber bei Win habe ich recht wenig Erfahrung. Samba installieren wird nicht da Problem sein, aber kann ich die (nur lokalen?) Win user auf dem Server dann auf die passenden Linux User mappen? Das also der Windows user "tocher" und der Linux user "tochter" beide Zugriff auf die Daten /daten/tochter haben?

Und ist es ausreichender Schutz für die Windows Systeme, wenn die "einfach" nicht ins Internet dürfen?
Oder falls die Win Rechner auch ins Internet dürfen, wo den Virenschutz hinbauen? router oder immer auf die einzelnen Rechner?

EDIT:
Oder lieber das Win-Zeug mit wine? (oder gar codeweavers?)

[orcape]

Hi,

Und ist es ausreichender Schutz für die Windows Systeme, wenn die "einfach" nicht ins Internet dürfen?

....ist Doch die halbe Wahrheit.
Wie willst Du denn die Systeme ohne Internet noch aktuell halten. (Sicherheitsrisiko)
Ich würde alles was Winblows, iPod etc. heißt, in ein anders Netz verbannen und das per WLAN erreichbar machen.
Server in die DMZ und alles was LINUX heißt ins LAN.
Ein pfSense auf einem ALIX mit miniPCI-WLAN-Karte (180.-€), dürfte da ausreichend sein.
http://www.administrator.de/wissen/prei ... 49915.html
Den Rest machen die Feierwallregeln und auf den Winblows Systemen selbstverständlich gescheite Virenscanner.
Mal über Samba4 und Active Direktory nachdenken.
Also viel Arbeit für dich...
Einfacher wäre Überzeugungsarbeit und vernünftig eingerichtete Linuxrechner, das ist aber leider auch nur die halbe Wahrheit.
Denn selbst ich habe gestern nach 2 Jahren wieder mal ein Windows7 benötigt, um eine NOKIA Handy-Software zu flashen.
Hat schon seine Berechtigung, so ein "schlummerndes" Windows....

Gruß orcape

[r4pt0r]

Die Win-Software schonmal versucht per wine zu betreiben?
Solangs kein hirntotes .NET oder MSXML benötigt die sich bei jedem Update wieder jede auf/abwärtskompatibilität zerstören funktioniert das mittlerweile mit fast allem... (Habe .NET noch nie brauchbar mit wine zum laufen bekommen - aber wenns selbst unter Win nie richtig läuft... )

Zum Netz:
Wenn sowieso ein Server aufgestellt wird, dann am besten auch gleich mehrere NICs und den Server als Gateway/Firewall nutzen (Shorewall - schnell und einfach konfiguriert). So hält man schonmal jede menge Müll aus dem Netz fern und bringt auch die meisten nach-hause-telefonieren-Programme unter Kontrolle da die i.d.r. exotische Ports dafür nutzen die dann erstmal dicht sind. Selbst auf Android-Smartphones ist es schon erschreckend was die alles an google und andere "Dienstleister" nach draussen schreien. Die Logfiles von shorewall sind da dann auch ein guter Ansatzpunkt die Firewall auf dem gerooteten Smartphone zu konfigurieren damit wirklich nichts mehr raus kommt was nicht nach draussen soll.

Windows-Clients in ein eigenes Netz verbannen klingt nett - auf die Idee bin ich noch nicht gekommen
Wird das über den Hostnamen realisiert, also verschiedene Hostnamen in der windows- und Linuxinstallation? Die MAC-Adressen bleiben ja gleich, daran kann der DHCP das nicht unterscheiden...


Zu den Freigaben:
Unter Linux würde ich sowieso keine smb-Freigaben nutzen. Dann eher nfs oder ssh/sftp - ist bedeutend schneller. Macht bei so ner Konfiguration sowieso Sinn auch den Samba so zu konfigurieren dass die home-Verzeichnisse genutzt werden. Macht auch backup und wiederherstellung einfacher (-> /home Partition)
Samba4/AD halte ich für so ne kleine umgebung in der die Windows-Clients eher eine untergeordnete Rolle spielen sollen für übertrieben. Da ist der Einrichtungsaufwand wohl höher als wenn man die handvoll Clients von Hand konfiguriert. Kann man ja ggf über registry-dateien oder GPOs machen die man auf den Server legt und an jedem Client einpflegt.

[cosmac]

Mein Plan ist dann ein debian Server mit nfs und samba als "Datengrab"

Wenn die gleichen Verzeichnisse per smb und per nfs exportiert werden, kann es zu Datenverlust kommen. Die nfs-Clients und die smb-Clients benutzen jeweils ihren eigenen Cache und ich glaube nicht, dass sich die synchronisieren lassen, man muss sie wohl abschalten. Oder auf die Statistik vertrauen, dass keine gleichzeitigen Schreibzugriffe passieren

Und ist es ausreichender Schutz für die Windows Systeme, wenn die "einfach" nicht ins Internet dürfen?

Profis benutzen für Angriffe USB-Sticks (stuxnet), die weitere Verbreitung passiert dann im isolierten Windows-Netz. Dann gibt es noch Punkt-zu-Punkt Verbindungen zu fremden Telefonen, das muss garkeine Hintertür ins Internet sein, es gab auch schon verseuchte JPEGs. Davon abgesehen braucht ein Windows ohne Verbindung nach aussen natürlich keine Updates, aber ist das praktikabel?

Windows-Clients in ein eigenes Netz verbannen klingt nett - auf die Idee bin ich noch nicht gekommen
Wird das über den Hostnamen realisiert, also verschiedene Hostnamen in der windows- und Linuxinstallation? Die MAC-Adressen bleiben ja gleich, daran kann der DHCP das nicht unterscheiden...

Der DHCP kann aber anhand der MAC-Adressen feste IP-Adressen vergeben. Die können dann auch in verschiedenen Subnetzen sein. Damit kann man die bekannten Rechner eindeutig zuordnen und Gäste mit unbekannter MAC-Adresse bekommen ihre IP dynamisch, wahlweise auch in einem reinen Gast-Subnetz.

[r4pt0r]

Windows-Clients in ein eigenes Netz verbannen klingt nett - auf die Idee bin ich noch nicht gekommen
Wird das über den Hostnamen realisiert, also verschiedene Hostnamen in der windows- und Linuxinstallation? Die MAC-Adressen bleiben ja gleich, daran kann der DHCP das nicht unterscheiden...

Der DHCP kann aber anhand der MAC-Adressen feste IP-Adressen vergeben. Die können dann auch in verschiedenen Subnetzen sein. Damit kann man die bekannten Rechner eindeutig zuordnen und Gäste mit unbekannter MAC-Adresse bekommen ihre IP dynamisch, wahlweise auch in einem reinen Gast-Subnetz.

Klar, so vergebe ich hier auch etlichen Geräten fixe IPs, das funktioniert für eine Trennung Linux/Windows-Subnetz aber nur bei reinen Windows- ODER Linux-Clients, nicht bei Dualboot-Systemen oder unbekannten hosts die sich zum ersten mal am DHCP melden. Gibt es da irgendwelche Merkmale für den DHCP anhand denen das OS erkannt werden könnte?

[orcape]

Klar, so vergebe ich hier auch etlichen Geräten fixe IPs, das funktioniert für eine Trennung Linux/Windows-Subnetz aber nur bei reinen Windows- ODER Linux-Clients, nicht bei Dualboot-Systemen oder unbekannten hosts die sich zum ersten mal am DHCP melden. Gibt es da irgendwelche Merkmale für den DHCP anhand denen das OS erkannt werden könnte?

Dualboot ist doch Wurscht.
Einfach Windows das Netzwerk mit WLAN einrichten.
Einfach unter Linux das Netzwerk mit LAN einrichten.
Egal ob DHCP oder statische IP's.
Den Rest macht der Router und die Firewall-Rules.
Und.....unbekannte Clients im WLAN.... lasse ich nicht in mein Netz, sonst wäre das dann ein gravierender Fehler in meiner Config....
Unbekannte Hosts im WLAN, von mir erlaubt, Linux-Clients müssen damit leben, das Sie sich in einem Windows Netz befinden.
Im LAN haben die nix zu suchen und gut iss es.
Wenn ich natürlich einen Linux-Client unbedingt zu Hause ins WLAN bringen muss oder einen Windows-Client unbedingt ins LAN...
Ich konfiguriere das Netz und kann damit leben....

Gruß orcape

[cosmac]

Gibt es da irgendwelche Merkmale für den DHCP anhand denen das OS erkannt werden könnte?

es gibt auf jeden Fall den "client-identifier" oder einen "vendor-identifier". Ein Beispiel aus einer alten dhcpd man page:

To add clients to classes based on conditional evaluation, you can specify a matching expression in the class statement:
class "ras-clients" {
match if substring (option dhcp-client-identifier, 1, 3) = "RAS";
}