Виртуальная подсеть

kavenchuk · Сообщение **kavenchuk** » 22 окт 2003, 13:00

Hi, All!
Сижу в корпоративной MS-сети. Хочу поставить свой маленький сервер (samba, postgresql, squid m.b.). Поставил woody, проапдейтил, поставил samba3 и задумался: как закрыть свой сервер по максимуму. В пределе: это не только коннект только для "своих", хотелось бы даже видимость ограничить с "чужих" станций. Идеал - непрохождение ping-а.
Возможно ли? И если "да" - что читать?

mend0za · Сообщение **mend0za** » 22 окт 2003, 15:36

это возможно

читать про iptables, /etc/hosts.allow(deny)
в принципе достаточно просто применить Iptables-HOWTO с www.tldp.org чтобы решить указанные задачи

там и пример подходящий есть и про пинги написано.
Проверено на людях (на себе проверял)

kavenchuk · Сообщение **kavenchuk** » 23 окт 2003, 11:33

Спасибо!
Пока подправил hosts.allow(deny). Работает. Но samba все равно светится в сетевом окружении на всех станциях!
С этим можно бороться?

mend0za · Сообщение **mend0za** » 23 окт 2003, 11:38

она (самба) по дефолту не юзает tcp wrapper (который разруливает /etc/hosts.*)
плюс у самбы интенсивно юзается UDP с широковещательными запросами

поэтому для подобной вещи надо подымать iptables и закрывать 137, 139 tcp и udp порты для провинившихся хостов

или, что грамотней, просто отрегулировать права доступа для них

kavenchuk · Сообщение **kavenchuk** » 23 окт 2003, 13:32

Прошу прощения за непроходимую тупость, но

или, что грамотней, просто отрегулировать права доступа для них

относится к iptables, samba или к чему-то другому?

Llama · Сообщение **Llama** » 23 окт 2003, 13:46

kavenchuk писал(а):Прошу прощения за непроходимую тупость, но
или, что грамотней, просто отрегулировать права доступа для них
относится к iptables, samba или к чему-то другому?

Видимо к самбе. В sbm.conf есть параметр отвечающий за то, на каких сетевых интерфейсах будт проявлять активность самба.

mend0za · Сообщение **mend0za** » 23 окт 2003, 14:57

к самбе imho

kavenchuk · Сообщение **kavenchuk** » 23 окт 2003, 15:17

Есть!
Спрятался

Всем огромное спасибо!
P.S. В HOWTO-SMB (на русском) про это ни слова - нашел в доке на родном сайте.

mend0za · Сообщение **mend0za** » 23 окт 2003, 15:32

сто раз читал man smb.conf и все равно каждый раз нахожу что-то новенькое

kavenchuk · Сообщение **kavenchuk** » 23 окт 2003, 15:49

Слона то я и не заметил... Век живи,...
(в свое жалкое оправдание) В man samba нет smb.conf(5).

mend0za · Сообщение **mend0za** » 23 окт 2003, 15:57

smbd(8)
The smbd daemon provides the file and print services to SMB
clients, such as Windows 95/98, Windows NT, Windows for Work-
groups or LanManager. The configuration file for this daemon is
described in smb.conf(5)
^^^^^^^^^^

)))))))))))))))))))))
из man 7 samba

kavenchuk · Сообщение **kavenchuk** » 23 окт 2003, 16:17

Да, похоже на данном уровне моего развитя трехходовки
man samba -> man smbd -> man smb.conf
для меня еще слишком сложны

ab · Сообщение ab » 23 окт 2003, 20:15

Почему же трехходовки -- это в тексте man 7 samba упомянуто, а не только в man smbd.

Смотреть надо на hosts allow/deny, interfaces, bind interfaces only. Однако в сети твою машину все равно будет видно всем, вопрос только в том, кто сможет к ней обратиться.

Как "трюк" можно поставить hosts allow/deny на ресурс IPC$, тогда даже список ресурсов смогут проссматривать только "проверенные товарищи".

kavenchuk · Сообщение **kavenchuk** » 24 окт 2003, 10:55

Как "трюк" можно поставить hosts allow/deny на ресурс IPC$, тогда даже список ресурсов смогут проссматривать только "проверенные товарищи".

А можно с этого места поподробнее?
Ну или хоть носом ткнуть в man, pls.

ab · Сообщение ab » 24 окт 2003, 13:20

Так уже ткнул -- все нужные ключевые слова для поиска в man smb.conf приведены.