Безопасность samba
villoso 20 июля, 2007 - 00:01
Всем привет.
Есть желание поднять самбу на домашнем генту-роутере, чтобы помимо раздачи инета он бы еще держал файловые шары для пользователей внутри "квартирной сети".
У роутера внешний айпи. Возможны ли какие-то проблемы с безопасностью в связи с этим? Другими словами, насколько поднятие самбы на роутере с внешним айпи может снизить безопасность системы?
Для меня "торчать наружу" пока в диковину, еще не обвыкся, поэтому возможно глупые вопросы..
»
- Для комментирования войдите или зарегистрируйтесь
В крнфиге самбы
В крнфиге самбы есть возможность указать подсеть с которой у тебя есть деление непосильно нажитым трудом.
В секции global надо добавить строку:
Вполне
Вполне безопасно при условиях:
1. см. предыдущий коммент
2. при правильной настройке firewall-а:
- запрещены (полностью) коннекты извне к smb портам:137-139, 445 (порты верные, ничего не перепутал?)
- запрещен трафик с smb портов наружу.
ок, спасибо за
ок, спасибо за инф-ю.
однако вот странное происходит -
Heffalump ~ # emerge -avO samba
These are the packages that would be merged, in order:
[ebuild N ] net-fs/samba-3.0.24-r3 USE="acl cups fam kerberos ldap pam python readline -async -automount -caps -doc -examples -oav -quotas (-selinux) -swat -syslog -winbind" LINGUAS="-ja -pl" 17,294 kB
Total: 1 package (1 new), Size of downloads: 17,294 kB
Would you like to merge these packages? [Yes/No] y
>>> Verifying ebuild Manifests...
>>> Emerging (1 of 1) net-fs/samba-3.0.24-r3 to /
* samba-3-gentoo-0.3.16.tar.bz2 RMD160 ;-) ... [ ok ]
* samba-3-gentoo-0.3.16.tar.bz2 SHA1 ;-) ... [ ok ]
* samba-3-gentoo-0.3.16.tar.bz2 SHA256 ;-) ... [ ok ]
* samba-3-gentoo-0.3.16.tar.bz2 size ;-) ... [ ok ]
>>> Downloading 'ftp://10.20.1.2/pub/software/unix/Distribs/Gentoo/distfiles/samba-3.0.24.tar.gz'
--13:06:59-- ftp://10.20.1.2/pub/software/unix/Distribs/Gentoo/distfiles/samba-3.0.24.tar.gz
=> `/usr/portage/distfiles/samba-3.0.24.tar.gz'
Устанавливается соединение с 10.20.1.2:21... соединение установлено.
Выполняется вход под именем anonymous ... Выполнен вход в систему!
==> SYST ... готово. ==> PWD ... готово.
==> TYPE I ... готово. ==> CWD /pub/software/unix/Distribs/Gentoo/distfiles ... готово.
==> PASV ... готово. ==> RETR samba-3.0.24.tar.gz ...
Нет такого файла `samba-3.0.24.tar.gz'.
>>> Downloading 'ftp://se.samba.org/pub/samba/samba-3.0.24.tar.gz'
--13:06:59-- ftp://se.samba.org/pub/samba/samba-3.0.24.tar.gz
=> `/usr/portage/distfiles/samba-3.0.24.tar.gz'
Распознаётся se.samba.org... 129.16.214.54
Устанавливается соединение с se.samba.org|129.16.214.54|:21... соединение установлено.
Выполняется вход под именем anonymous ... Выполнен вход в систему!
==> SYST ... готово. ==> PWD ... готово.
==> TYPE I ... готово. ==> CWD /pub/samba ... готово.
==> PASV ... готово. ==> RETR samba-3.0.24.tar.gz ...
Нет такого файла `samba-3.0.24.tar.gz'.
>>> Downloading 'ftp://tr.samba.org/samba/samba-3.0.24.tar.gz'
--13:07:01-- ftp://tr.samba.org/samba/samba-3.0.24.tar.gz
=> `/usr/portage/distfiles/samba-3.0.24.tar.gz'
Распознаётся tr.samba.org... 139.179.10.17
Устанавливается соединение с tr.samba.org|139.179.10.17|:21... соединение установлено.
Выполняется вход под именем anonymous ...
Ошибка в ответе сервера, управляющее соединение закрывается.
Повтор.
--13:07:03-- ftp://tr.samba.org/samba/samba-3.0.24.tar.gz
(попытка: 2) => `/usr/portage/distfiles/samba-3.0.24.tar.gz'
Устанавливается соединение с tr.samba.org|139.179.10.17|:21... соединение установлено.
Выполняется вход под именем anonymous ...
Ошибка в ответе сервера, управляющее соединение закрывается.
Повтор.
--13:07:08-- ftp://tr.samba.org/samba/samba-3.0.24.tar.gz
(попытка: 3) => `/usr/portage/distfiles/samba-3.0.24.tar.gz'
Устанавливается соединение с tr.samba.org|139.179.10.17|:21... соединение установлено.
Выполняется вход под именем anonymous ...
Ошибка в ответе сервера, управляющее соединение закрывается.
Повтор.
--13:07:11-- ftp://tr.samba.org/samba/samba-3.0.24.tar.gz
(попытка: 4) => `/usr/portage/distfiles/samba-3.0.24.tar.gz'
Устанавливается соединение с tr.samba.org|139.179.10.17|:21... соединение установлено.
Выполняется вход под именем anonymous ...
Ошибка в ответе сервера, управляющее соединение закрывается.
Повтор.
ну и так далее в том же духе.
что бы это значило?..
Это значит, что
Это значит, что у Вас проблемы с закачкой. Очень похоже, что проблемы с закачкой с ftp. Попробуйте скачать с http://distfiles.gentoo.org
угу, я вижу что
угу, я вижу что проблемы с закачкой :)
странно, откуда они вдруг взялись. все работало прекрасно.
спасибо за подсказку, качаю тарбол с http://distfiles.gentoo.org
посмотрите pls. этого будет достаточно?
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 0:1023 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -p tcp -m multiport --source-port 137,138,139,445 -j DROP
iptables -A FORWARD -i ppp0 -s 192.168.0.0/16 -p tcp -m multiport --source-port 137,138,139,445 -j DROP
вернее.. это вообще правильные правила для ваших рекомендаций?
с iptables только недавно начал разбираться
ЗЫ eth0 смотрит наружу, eth1 и eth2 внутрь., локалка 192,168,0,0/16
Кстати да,
Кстати да, аналогичная проблема. Хотел поднять у себя на тачке самбу для локалки. В инет у меня доступ через прокси, соответственно до самбы из инета не доберёшься. Пока смущали 2 фактора: 1) безопасность. Не хакнет ли меня случаем кто из локальной сети? 2) пожирание ресурсов. Как-то ещё в мандриве настраивал самбу. Впечатления почемуто не из самых приятных. Иногда хочется чтобы машинка отдавала все свои ресурсы мне и почти не обращала внимание на то, что с неё кто-то что-то качает. Это как-то реализуемо, кроме как каждый раз делать nice процессу?
---
Во имя Святого Пингвина!
Математика
Все зависит от мощности машины, производительности HDD и сетевых карт (+ коммутатора).
Например: Если у Вас P4, хорошие SATA или IDE винты (hdparm не менее 50), сетевая 1 Гбит и коммутатор на 100 мбит - то при максимальной сетевой активности Samba комп особо тормозить не будет (узкое место - коммутатор) - и с Вас сливать инфу будут на скорости 6-7 Мбайт/с (для протокола Smb).
Если же у Вас слабый проц, полуживой винт, сетевуха RTL8139 и хороший коммутатор - узким местом будет Ваш комп и тормозить будет он :)
А я сделал bond
А я сделал bond интерфейс. :) Три сетевушки intel 100 mbit объеденил. Все прекрассно. :) Правда сервак для шаров отдельный, к нему вообще не прикасаюсь.
Linux home 2.6.19-gentoo-r5 #3 SMP Thu Jun 14 21:28:55 KRAST 2007 i686 Intel(R) Pentium(R) 4 CPU 3.00GHz GenuineIntel GNU/Linux
Теперь и HTC TyTN :) Жалко на Windows Mobile 6.0 :(
Сетевуха Realtek
Сетевуха Realtek на 100 мегабит... Узким местом будет она. Проц - Intel 2GHz, винт нормальный IDE. Свич не помню какой стоит - толи на 100 мегабит, толи на 1 гигабит...
---
Во имя Святого Пингвина!
у меня на фаере
у меня на фаере тоже соит риалтек - так как там пень3-733, с SMB скорото чтения ~4Mb/c. а если с vsftpd - ~9.5Mb/s как видно риалтек непричём.
Согласен
Протокол SMB - не самый производительный протокол передачи данных :) (помоему, он один из самых медленных).
А сетевухи RTL8139 на самом деле не так уж плохи (в ряде случаев) - все зависит от задач. Но на файловый сервер с Samba - ни в коем случае :) Тот же 3COM905C-TX (500 руб) - лучше раза в два будет :)