ftp i samba, ustawienie dost

bastard · Post autor: **bastard** » 03 lutego 2011, 12:26

Chciałbym aby do serwera ftp i samby miały dostęp tylko wybrane adresy MAC.

Czy to zadziała

iptables -A INPUT -m mac --mac-source 00:01:6C:18:A5:EA -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00:01:6C:18:A5:EA -p tcp --dport 139 -j ACCEPT

Bastian · Post autor: **Bastian** » 03 lutego 2011, 13:22

bastard, zadziała o ile hosty, co do których chcesz stosować tą blokadę łączą się z Twoim serwerem przez ethernet (LAN bądź chyba PPPoE), w innym razie będziesz dostawał MAC adres ostatniego rutera po drodze.

bastard · Post autor: **bastard** » 03 lutego 2011, 13:45

Czyli w przypadku jeżeli serwer FTP i SAMBA nie jest jednocześnie serwerem DHCP to również nie większego sensu?

Bastian · Post autor: **Bastian** » 03 lutego 2011, 14:29

DHCP nie ma tutaj nic do rzeczy. Mówiąc obrazowo, filtrowanie iptables po mac adresach będzie działało np. jak serwer i hosty będą wpięte do jednego routera, który przydzieli im jedną przestrzeń adresową z puli adresów prywatnych. Nie jestem pewien, ale jeśli chciałbyś to zrobić dla komputerów w odległych lokalizacjach to trzeba by stawiać VPN. Ale pewnien nie jestem czy to zadziała

bastard · Post autor: **bastard** » 03 lutego 2011, 15:54

Czyli filtrowanie MAC będzie działało tylko dla SAMBY. Właśnie się zastanawiałem nad VPN, tylko tego nigdy nie robiłem. Chodzi mi o bezpieczny sposób transferu plików. Autoryzacja z założenia miała być inna niż zwykły login i hasło (login i hasło można podejrzeć, niektórzy mają je nawet na monitorze). Ale z drugiej strony obsługa ma być prosta, korzystać będą z tego użytkownicy Windows, więc chcieliby kliknąć i ma to wszystko działać.

sethiel · Post autor: **sethiel** » 03 lutego 2011, 16:52

Co do shorewalla i adresów MAC to ładnie to opisali tutaj:
http://www.shorewall.net/MAC_Validation.html

Bezpieczny sposób transferu plików masz przez vsftp czyli FTP.
Użytkownicy w Windows mogliby mieć na stałe zapisane hasła więc nie musieliby ich trzymać na monitorze na naklejce.

Bastian · Post autor: **Bastian** » 04 lutego 2011, 10:03

Bezpieczny sposób transferu plików niekoniecznie ma związek z samym logowaniem i hasłami, a raczej z metodą transferu pliku. Tutaj rzeczywiście tunelowanie przez VPN można zastosować, ale np dla ftp można robić sftp bądź ftps (sftp lepsze).

Pacek · Post autor: **Pacek** » 05 lutego 2011, 15:53

Zgadzam się z opinią Bastiana. Dodałbym, że równie dobrze można skonfigurować openvpn na tych dwóch stacjach roboczych. Wtedy użtkownik podłącza się do sieci po podaniu hasła do klucza RSA i zostaje zestawiony szyfrowany tunel. Natomiast połączenie z FTP czy Sambą (czy innmi usługami) w ramach tunelu VPN nie wymagają stosowania dodatkowego szyfrowania.

ftp i samba, ustawienie dost

ftp i samba, ustawienie dostępu dla wybranych adresów MAC