Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Blokowanie SAMBY na zewnątrz
#1 2009-11-09 23:50:12
life - 
Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Blokowanie SAMBY na zewnątrz
Chciałbym zablokować SAMBE na zewnątrz tak by przyjmowała tylko dostęp z LAN-u. z blaszka na którym jest samba używam też rtorrenta więc nie chcę blokować całego ruchu i otwierać odpowiednie porty więc system jest "otwarty" a chcę zablokować dostęp do samby z WAN
w regułach iptables mam tak:
Kod:
iptables -F # najpierw blokujemy dostęp wszystkim iptables -A INPUT -s 0/0 -p udp --dport 137 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 138 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 139 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 445 -j DROP # a tu chcę go otworzyc dla sieci lokalnej iptables -A INPUT -s 192.168.1.1/28 -p udp --dport 137:139 -m state --state NEW -j ACCEPT iptables -A INPUT -s 192.168.1.1/28 -p tcp --dport 137:139 -m state --state NEW -j ACCEPT iptables -A INPUT -s 192.168.1.1/28 -p tcp --dport 445 -m state --state NEW -j ACCEPT
problem w tym że w otoczeniu sieciowym widzę kompa ale nie mogę się do niego dostać :(
Offline
#2 2009-11-10 00:47:51
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: Blokowanie SAMBY na zewnątrz
nie karta jest jedna komp wpięty w router z DMZ ustawionym na niego tak by był widoczny na zewnątrz i między innymi dlatego chcę blokować SAMBE poza LAN-en
Offline
#3 2009-11-10 10:42:37
BiExi - matka przelozona
#4 2009-11-10 14:42:51
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: Blokowanie SAMBY na zewnątrz
BiExi napisał(-a):
w konfigu samby ustaw podsieci z ktorych ma byc dostep
Zrobiłem to na początku tylko chciałem jeszcze ucinać na firewallu żeby mieć pewność :)
Ostatnio edytowany przez life (2009-11-10 14:43:18)
Offline
#5 2009-11-29 01:02:21
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Blokowanie SAMBY na zewnątrz
Jeżeli masz domyślną politykę INPUT na DROP:
Kod:
:~$ sudo iptables -L -n Chain INPUT (policy DROP)
- to te wpisy:
Kod:
iptables -A INPUT -s 0/0 -p udp --dport 137 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 138 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 139 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 445 -j DROP
- są wtedy psu na budę - a mogą coś mieszać.
Za blokowanie powinna odpowiadać domyślna polityka, za udostępnianie i wyjątki z udostępniania portów - reguły.
Poza tym:
Kod:
-m state --state NEW
- kontrola stanu pakietu w internecie jest potrzebna - w sieci lokalnej nie koniecznie.
Jeśli je wstawiasz - to sprawdź - czy reguły dotyczące nawiązanych i kontynuowanych połączeń zahaczają o te reguły, bo jeśli nie - to połączenie nie będzie działać - pomimo otwartego portu.
Mam na myśli reguły podobne do tych:
Kod:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Wtedy wszystko powinno trybić jak trzeba.
Pozdrawiam
Ostatnio edytowany przez Jacekalex (2009-11-29 01:03:06)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Blokowanie SAMBY na zewnątrz