Zabezpeceni samby ??

[dekon]

Na internet se pripojuju pomoci ethernetoveho modemu.

Stale nevim jak mam zabezpecit samba server, z netu se na nej porad snazi nekdo pripojit, jestli se teda nepletu:
log.85.86.138.184

Kód:

[2005/10/01 19:27:20, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:20, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:20, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:20, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:20, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:20, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:23, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$[2005/10/01 19:27:23, 0] smbd/sesssetup.c:reply_sesssetup_and_X(662)
  reply_sesssetup_and_X:  Rejecting attempt at SPNEGO session setup when it was$

V smb.conf mam pritom:

Kód:

;   hosts allow = 192.168.0.3 192.168.0.1 192.168.0.29 192.168.0.11

[Rainbow]

Skus ten riadok odkomentovat

[dekon]

Nekdo se tam snazi pripojit stale:

Kód:

[2005/10/22 23:00:50, 0] lib/access.c:check_access(328)
  Denied connection from  (85.66.61.231)
[2005/10/22 23:00:50, 1] smbd/process.c:process_smb(1084)
  Connection denied from 85.66.61.231
[2005/10/22 23:00:51, 0] lib/access.c:check_access(328)
  Denied connection from  (85.66.61.231)
[2005/10/22 23:00:51, 1] smbd/process.c:process_smb(1084)
  Connection denied from 85.66.61.231
[2005/10/22 23:00:52, 0] lib/access.c:check_access(328)
  Denied connection from  (85.66.61.231)
[2005/10/22 23:00:52, 1] smbd/process.c:process_smb(1084)
  Connection denied from 85.66.61.231
[2005/10/22 23:00:53, 0] lib/access.c:check_access(328)
  Denied connection from  (85.66.61.231)
[2005/10/22 23:00:53, 1] smbd/process.c:process_smb(1084)
  Connection denied from 85.66.61.231
[2005/10/22 23:00:53, 0] lib/access.c:check_access(328)
  Denied connection from  (85.66.61.231)
[2005/10/22 23:00:53, 1] smbd/process.c:process_smb(1084)

[Rainbow]

To tam mas 2 sietovky alebo ako to mas? Nastav interfaces= tak, aby si tam mal len lokalnu sietovku.

[dekon]

Mam router, ktery routuje verejnou IP vsem PC v siti, na lokale mam IP 0.2.

[Rainbow]

Tak interfaces nastav len na tu lokalnu sietovku. Potom bude ten port zvonku zavrety (odporucam otestovat "nmap vonkajsia_ipcka" a "nmap vnutorna_ipcka"). A pouzivaj firewall.

[dekon]

Nastavil jsem:
interfaces = 192.168.0.2/24
hosts allow = 192.168.0.3 192.168.0.1 192.168.0.29 192.168.0.11

A furt to loguje nejaky pokusy o pripojeni .

Kód:

nmap 192.168.0.2
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds

nmap net ip:

Kód:

All 1663 scanned ports on SpeedTouch.lan (81.64.xx.xxx) are: filtered

[tosuja]

Nastav si firewall (jsi blazen, jestli ho jeste nemas). Resit omezovani pristupu az cilovym daemonem (samba) je pozde - vystavis se moznosti zneuziti chyby v sambe nejakym utocnikem.

[dekon]

Problem, je ze nevim jak mam nastavit firewall, protoze mam jen rozhrani eth0 a k nemu IP 192.168.0.2

A nevim, jak to nastavit, porty povolene v ramci LAN a netu ...

Nejschudneji pro mevypada Jay's Iptables Firewall, jenze ten me hodi error, kdyz zvolim rozhrani eth0 jak pro LAN tak net.

[Rainbow]

Nejako som nepochopil, ako to tam mas. Router s jednou sietovkou

Inak interfaces= je pomerne bezpecna metoda, lebo na tych "nevhodnych" interfacoch vobec nie je otvoreny port => neda sa zneuzit ziadna chyba Samby. Ale odporucam pouzivat aj firewall (spravne nastavenie kazdeho demona + spravne nastaveny firewall).

[dekon]

Nejako som nepochopil, ako to tam mas. Router s jednou sietovkou

Presne tak.

[David Jaša]

Nejako som nepochopil, ako to tam mas. Router s jednou sietovkou

Presne tak.

Kup si v bazaru za kilo druhou. Nebýt oddělen od "big bad" internetu je celkem naprd.

[Rainbow]

Naco je router, ktory ma len 1 interface? Fakt by ma zaujimalo, ako to mas spra(v|s)ene

[tosuja]

Naco je router, ktory ma len 1 interface? Fakt by ma zaujimalo, ako to mas spra(v|s)ene

To je celkem jednoduche - virtualni interface. A samozrejme vnejsi a vnitrni site nejsou galvanicky oddelene, coz neni dobry napad, ale obcas se to tak doma dela....

[dekon]

Nejako som nepochopil, ako to tam mas. Router s jednou sietovkou

Presne tak.

Kup si v bazaru za kilo druhou. Nebýt oddělen od "big bad" internetu je celkem naprd.

Nejak jsem nepochopil jak to s tema sitovkama myslis.
To mam koupit druhou sitovku, kterou zapojim do routeru ?
K cemu mi to ale potom bude (sice budu mit dve interface, ale implicitne, pokud to neomezim firewallem tak budou mit pristup na net obe sitovky).
Predpokladam totiz je i tu druhou sitovku bych zapojil do routeru, nebo jak to teda myslite

To je celkem jednoduche - virtualni interface. A samozrejme vnejsi a vnitrni site nejsou galvanicky oddelene, coz neni dobry napad, ale obcas se to tak doma dela....

Virtual interface vytvorim ifconfig wlan0:0 192.168.0.22 ?

BTW: Nebylo by nejlepsi dat:

Kód:

iptables -I -A INPUT -s 192.168.0.0/24

Tohle by tusim melo povolit veskerou komunikaci po LAN, ostatni by se filtrovalo (momentalne nemuzu overit jestli je syntaxe spravne).

[tosuja]

Dve sitovky: jedna by mela vest k modemu (obecne "ven" do internetu) a druha by mela vest do hubu/switche (obecne "dovnitr"), do ktereho jsou zapojene ostatni domaci pocitace. Timto zpusobem jsi schopen dosahnout bezpecneho oddeleni domaci site a internetu, udelat poradny firewall, pripadne pocitat pripojenym pocitacum prenesena data atd. Je to ta lepsi varianta.

Jedna sitovka: vede do hubu, do ktereho je pripojeny jak modem, tak ostatni domaci pocitace. Jedine univerzalni reseni je nastavit virtualni sitovku a pak to na to odpovidajicim zpusobem nastavit firewall/routovani. Nouzovka, kdyz clovek nema 150Kc na novou sitovku, pripadne nema volne sloty atd. Nelze doporucit, protoze vychcany uzivatel muze router uplne obejit a delat problemy (je fyzicky na stejnem dratu jako modem/brana do internetu). Taky nezarucuje uzivatelum zadnou uroven zabezpeceni (firewall), coz je v pripade windows celkem podstatny problem. Zavirujes ho rychleji, nez stahnes updaty atd.

[Rainbow]

To je celkem jednoduche - virtualni interface.

To ma napadlo - len som si povedal, ze take pouzitie nema velky zmysel...

[dekon]

Zapomnel jsem rict, ze soucasti toho routeru je i adsl modem, konkretne se jedna o Alcatel SpeedTouch 510i 4x eth. Pred ten modem+router mam teda zapojit switch

[Fox!MURDER]

Zapomnel jsem rict, ze soucasti toho routeru je i adsl modem, konkretne se jedna o Alcatel SpeedTouch 510i 4x eth. Pred ten modem+router mam teda zapojit switch

nejlepsi reseni bys asi mel pouzit ten modem jako bridge (vetsina modemu se do nejakyho podobnyho modu - i kdyz u adsl se mu tak tusim primo nerika - da prepnout) a do routeru dat dve sitovky ...

jinak to snadno vyresis fuhrerwallem

[dekon]

OK, u adsl je to primo ten bridge mod, modem do nej nastavim, ale co se pro me tim padem zmeni ?

Je mi jasny ze budu potom muset z PC udelat router, pro dalsi lidi na LAN, zajima me jestli necham normalne vsechno nastaveny jak jsm to mel dotedka (IP modemu jako vychozi brana, DNS nameserver IP modemu.