ďťż
 
 
   Samba - zablokowac dostep z zewnatrz
 
 

Tematy
 
    
 

 

 

 

Samba - zablokowac dostep z zewnatrz




giaur - 11-07-2007 17:21
Witam,

Sprawa jest krotka - mam sambe i chce miec pewnosc, ze nikt z zewnatrz nie ma dostepu do serwera.

Mam nastepujaca prosbe: adres serwera to http://gosc.mine.nu. Mam teraz postawiona sambe z udostepnionym pustym udzialem (w celach testowych).

Chodzi mi o to, zebyscie sprawdzili czy nie mozna sie tam dostac z zewnatrz - jezeli nie to nie zawracam glowy, jezeli tak to podam moj konfig w celu wyjasnienia jak sie zabezpieczyc.

Zamierzam udostepnic sobie prawie caly serwer na kompa z Windows bez hasla i z prawami zapisu/odczytu (jako ze mam tylko serwer i moj komp i to jest cala siec, jest to calkiem logiczne rozwiazanie).

Ale chce miec pewnosc ze nikt z zewnatrz sie tam nie dostanie. Dzieki z gory.


stepek - 12-07-2007 08:22
Zablokuj na firewallu i bedziesz mial z glowy


miszmaniac - 12-07-2007 08:35
Polecam:
http://www.samba.org/samba/docs/man/...WTO-Collection

A tu masz co trzeba dopisać do smb.conf żeby się zabezpieczyć:
bind interfaces only = True
interfaces = 10.0.0.1/255.255.255.0
hosts allow = localhost, 10.0.0.0/255.255.255.0 Gdzie 10.0.0.1 to adres karty wewnętrznej, a 10.0.0.0 adres sieci wewnętrznej.
Możesz też w hosts allow dodać tylko jeden adres np. localhost, 10.0.0.2


giaur - 12-07-2007 08:35
Hmm ustawilem na razie za pomoca hosts allow, ze tylko z mojego wewnetrznego IP polaczenie jest dozwolone, ale cos mi sie wydaje ze to za slabe zabezpieczenie, chyba rzeczywiscie lepiej bedzie zablokowac to na iptables. Ale ktore porty musze zablokowac?

W logach mam mase numerow IP, ale zadnemu (chyba) nie udalo sie polaczyc - jest cos takiego:

[2007/07/09 11:33:38, 1] libsmb/clispnego.c:parse_negTokenTarg(265)
  Failed to parse negTokenTarg at offset 21 [edit]
miszmaniac: napisales posta rowno ze mna :-) Ale to juz mialem wczesniej zrobione :-)


stepek - 12-07-2007 08:45
google mowia np

wynik wyszukiwania

tylko blokuj z glowa by nie zablokowac swojej sieci.
Co prawda tez mam takie logi jak Ty ale jakos specjalnie sie nimi nie martwie. Narazie nikt mi sie (chyba) nie wlamal :)
Ale w przyszlosci mysle rowniez o zablokowaniu porotw na serwerze wszystkch oprocz niezbednych do zycia zdalnego.


miszmaniac - 12-07-2007 08:56
Ale oprócz hosts_allowed napisałem Ci jeszcze o interfejsie. Jak to zmienisz, to po stronie zewnętrznej samby nie będzie w ogóle.


kat - 29-07-2007 10:23
iptables -A INPUT -p tcp -m multiport --dport 137,138,139,445 -i ppp0 -j DROP
iptables -A INPUT -p udp -m multiport --dport 137,138,139,445 -i ppp0 -j DROP
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis