Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Samba - zablokowac dostep z zewnatrz

https://www.debian.pl/viewtopic.php?t=2853

Strona 1 z 1

Samba - zablokowac dostep z zewnatrz

: 11 lipca 2007, 17:21
autor: giaur
Witam,

Sprawa jest krotka - mam sambe i chce miec pewnosc, ze nikt z zewnatrz nie ma dostepu do serwera.

Mam nastepujaca prosbe: adres serwera to http://gosc.mine.nu. Mam teraz postawiona sambe z udostepnionym pustym udzialem (w celach testowych).

Chodzi mi o to, zebyscie sprawdzili czy nie mozna sie tam dostac z zewnatrz - jezeli nie to nie zawracam glowy, jezeli tak to podam moj konfig w celu wyjasnienia jak sie zabezpieczyc.

Zamierzam udostepnic sobie prawie caly serwer na kompa z Windows bez hasla i z prawami zapisu/odczytu (jako ze mam tylko serwer i moj komp i to jest cala siec, jest to calkiem logiczne rozwiazanie).

Ale chce miec pewnosc ze nikt z zewnatrz sie tam nie dostanie. Dzieki z gory.

: 12 lipca 2007, 08:22
autor: stepek
Zablokuj na firewallu i bedziesz mial z glowy

: 12 lipca 2007, 08:35
autor: miszmaniac
Polecam:
http://www.samba.org/samba/docs/man/Sam ... Collection

A tu masz co trzeba dopisać do smb.conf żeby się zabezpieczyć:

Kod: Zaznacz cały

bind interfaces only = True
interfaces = 10.0.0.1/255.255.255.0
hosts allow = localhost, 10.0.0.0/255.255.255.0
Gdzie 10.0.0.1 to adres karty wewnętrznej, a 10.0.0.0 adres sieci wewnętrznej.
Możesz też w hosts allow dodać tylko jeden adres np. localhost, 10.0.0.2

: 12 lipca 2007, 08:35
autor: giaur
Hmm ustawilem na razie za pomoca hosts allow, ze tylko z mojego wewnetrznego IP polaczenie jest dozwolone, ale cos mi sie wydaje ze to za slabe zabezpieczenie, chyba rzeczywiscie lepiej bedzie zablokowac to na iptables. Ale ktore porty musze zablokowac?

W logach mam mase numerow IP, ale zadnemu (chyba) nie udalo sie polaczyc - jest cos takiego:

Kod: Zaznacz cały

[2007/07/09 11:33:38, 1] libsmb/clispnego.c :p arse_negTokenTarg(265)
  Failed to parse negTokenTarg at offset 21
[edit]
miszmaniac: napisales posta rowno ze mna :-) Ale to juz mialem wczesniej zrobione :-)

: 12 lipca 2007, 08:45
autor: stepek
google mowia np

wynik wyszukiwania

tylko blokuj z glowa by nie zablokowac swojej sieci.
Co prawda tez mam takie logi jak Ty ale jakos specjalnie sie nimi nie martwie. Narazie nikt mi sie (chyba) nie wlamal :)
Ale w przyszlosci mysle rowniez o zablokowaniu porotw na serwerze wszystkch oprocz niezbednych do zycia zdalnego.

: 12 lipca 2007, 08:56
autor: miszmaniac
Ale oprócz hosts_allowed napisałem Ci jeszcze o interfejsie. Jak to zmienisz, to po stronie zewnętrznej samby nie będzie w ogóle.

: 29 lipca 2007, 10:23
autor: kat

Kod: Zaznacz cały

iptables -A INPUT -p tcp -m multiport --dport 137,138,139,445 -i ppp0 -j DROP
iptables -A INPUT -p udp -m multiport --dport 137,138,139,445 -i ppp0 -j DROP
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl