Страница 1 из 2

Виртуальная подсеть

Добавлено: 22 окт 2003, 13:00
kavenchuk
Hi, All!
Сижу в корпоративной MS-сети. Хочу поставить свой маленький сервер (samba, postgresql, squid m.b.). Поставил woody, проапдейтил, поставил samba3 и задумался: как закрыть свой сервер по максимуму. В пределе: это не только коннект только для "своих", хотелось бы даже видимость ограничить с "чужих" станций. Идеал - непрохождение ping-а.
Возможно ли? И если "да" - что читать?

Добавлено: 22 окт 2003, 15:36
mend0za
это возможно

читать про iptables, /etc/hosts.allow(deny)
в принципе достаточно просто применить Iptables-HOWTO с www.tldp.org чтобы решить указанные задачи

там и пример подходящий есть и про пинги написано.
Проверено на людях (на себе проверял)

Добавлено: 23 окт 2003, 11:33
kavenchuk
Спасибо!
Пока подправил hosts.allow(deny). Работает. Но samba все равно светится в сетевом окружении на всех станциях!
С этим можно бороться?

Добавлено: 23 окт 2003, 11:38
mend0za
она (самба) по дефолту не юзает tcp wrapper (который разруливает /etc/hosts.*)
плюс у самбы интенсивно юзается UDP с широковещательными запросами

поэтому для подобной вещи надо подымать iptables и закрывать 137, 139 tcp и udp порты для провинившихся хостов

или, что грамотней, просто отрегулировать права доступа для них

Добавлено: 23 окт 2003, 13:32
kavenchuk
Прошу прощения за непроходимую тупость, но
или, что грамотней, просто отрегулировать права доступа для них
относится к iptables, samba или к чему-то другому?

Добавлено: 23 окт 2003, 13:46
Llama
kavenchuk писал(а):Прошу прощения за непроходимую тупость, но
или, что грамотней, просто отрегулировать права доступа для них
относится к iptables, samba или к чему-то другому?
Видимо к самбе. В sbm.conf есть параметр отвечающий за то, на каких сетевых интерфейсах будт проявлять активность самба.

Добавлено: 23 окт 2003, 14:57
mend0za
к самбе imho

Добавлено: 23 окт 2003, 15:17
kavenchuk
Есть!
Спрятался :)
Всем огромное спасибо!
P.S. В HOWTO-SMB (на русском) про это ни слова - нашел в доке на родном сайте.

Добавлено: 23 окт 2003, 15:32
mend0za
сто раз читал man smb.conf и все равно каждый раз нахожу что-то новенькое

Добавлено: 23 окт 2003, 15:49
kavenchuk
:( Слона то я и не заметил... Век живи,...
(в свое жалкое оправдание) В man samba нет smb.conf(5).

Добавлено: 23 окт 2003, 15:57
mend0za
smbd(8)
The smbd daemon provides the file and print services to SMB
clients, such as Windows 95/98, Windows NT, Windows for Work-
groups or LanManager. The configuration file for this daemon is
described in smb.conf(5)
^^^^^^^^^^
:))))))))))))))))))))))
из man 7 samba

Добавлено: 23 окт 2003, 16:17
kavenchuk
:? Да, похоже на данном уровне моего развитя трехходовки
man samba -> man smbd -> man smb.conf
для меня еще слишком сложны :lol:

Добавлено: 23 окт 2003, 20:15
ab
Почему же трехходовки -- это в тексте man 7 samba упомянуто, а не только в man smbd.

Смотреть надо на hosts allow/deny, interfaces, bind interfaces only. Однако в сети твою машину все равно будет видно всем, вопрос только в том, кто сможет к ней обратиться.

Как "трюк" можно поставить hosts allow/deny на ресурс IPC$, тогда даже список ресурсов смогут проссматривать только "проверенные товарищи".

Добавлено: 24 окт 2003, 10:55
kavenchuk
Как "трюк" можно поставить hosts allow/deny на ресурс IPC$, тогда даже список ресурсов смогут проссматривать только "проверенные товарищи".
А можно с этого места поподробнее?
Ну или хоть носом ткнуть в man, pls.

Добавлено: 24 окт 2003, 13:20
ab
Так уже ткнул -- все нужные ключевые слова для поиска в man smb.conf приведены.