Как закрыть доступ к портам самба из интернет.

0

2

Здравствуйте. Как закрыть доступ к портам самба из интернет в iptables что бы можно было подключаться только из внутренней сети?

Ссылка

←	Перенаправление вывода уже введённой команды

непонятки с флеш плеером

→

iptables -A INPUT -p tcp --dport 135:445 ! -s [твоя локальная подсеть] -j DROP

Помойму так

pavel38 ★
(26.06.15 17:26:12 MSK)
Последнее исправление: pavel38 26.06.15 17:26:33 MSK (всего исправлений: 1)

Ответ на: комментарий от pavel38 26.06.15 17:26:12 MSK

Как правильно указать подсеть?

kadavertsian
(26.06.15 17:35:24 MSK) автор топика

Ответ на: комментарий от kadavertsian 26.06.15 17:35:24 MSK

К примеру 192.168.1.x

kadavertsian
(26.06.15 17:35:56 MSK) автор топика

Ссылка

Если я тебя правильно понял, то можешь вообще так сделать (но это закроет все соединения извне в принципе). На самбу с локалки зайдешь.

iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i [твоё сетевое устройство сервера, например eth0] -j ACCEPT

~~ring0kill~~
(26.06.15 17:56:41 MSK)

Ссылка

Ответ на: комментарий от pavel38 26.06.15 17:26:12 MSK

Что то типа того, 192.168.1.0/24, думаю под свою подсеть поправишь сам

pavel38 ★
(26.06.15 18:03:33 MSK)

Ответ на: комментарий от pavel38 26.06.15 18:03:33 MSK

Не получаеться вот что выдает:

 iptables -A INPUT -p tcp --dport 135:445 ! -s 192.168.1.1/102 -j DROP
iptables v1.4.21: invalid mask `102' specified
Try `iptables -h' or 'iptables --help' for more information.

kadavertsian
(26.06.15 18:30:33 MSK) автор топика

Ответ на: комментарий от kadavertsian 26.06.15 18:30:33 MSK

В фигурных скобках тоже выдает ошибку.

kadavertsian
(26.06.15 18:31:21 MSK) автор топика

Ответ на: комментарий от kadavertsian 26.06.15 18:31:21 MSK

Про фигурные скобки забудь, маска 102 не существует и не когда не существовала, покажи мне вывод команды ifconfig -a

pavel38 ★
(26.06.15 18:34:29 MSK)
Последнее исправление: pavel38 26.06.15 18:34:44 MSK (всего исправлений: 1)

Ответ на: комментарий от pavel38 26.06.15 17:26:12 MSK

[твоя локальная подсеть] -j DROP

facepalm.png

~~ring0kill~~
(26.06.15 18:38:12 MSK)

Ссылка

Ответ на: комментарий от pavel38 26.06.15 18:34:29 MSK

eth0      Link encap:Ethernet  HWaddr bc:5f:f4:85:02:f1
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::be5f:f4ff:fe85:2f1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1916 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1317 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:171853 (167.8 KiB)  TX bytes:221396 (216.2 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:497 errors:0 dropped:0 overruns:0 frame:0
          TX packets:497 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:79697 (77.8 KiB)  TX bytes:79697 (77.8 KiB)

kadavertsian
(26.06.15 18:38:46 MSK) автор топика

Ссылка

Ответ на: комментарий от kadavertsian 26.06.15 18:30:33 MSK

[telepat mode]

iptables -A INPUT -p tcp -m multiport --dport 135,139,445 ! -s 192.168.1.0/24 -j DROP

[/telepat mode]

Это для твоего случая, если мой libastral.so верно работает

pavel38 ★
(26.06.15 18:39:45 MSK)
Последнее исправление: pavel38 26.06.15 18:40:31 MSK (всего исправлений: 2)

Ответ на: комментарий от pavel38 26.06.15 18:39:45 MSK

Спасибо, сейчас буду проверять

kadavertsian
(26.06.15 18:43:58 MSK) автор топика

Ссылка

Ответ на: комментарий от pavel38 26.06.15 18:39:45 MSK

Спасибо работает

kadavertsian
(26.06.15 18:56:25 MSK) автор топика

Ссылка

Ещё один способ - задать в самой samba.
Для этого указываешь в файле /etc/samba/smb.conf так:

   interfaces = 192.168.1.0/24

(не забудь убрать ";" или «#» в начале строки)

или так:

   interfaces = eth0

или так:

   interfaces = 192.168.1.0/24 eth0

В этом случае самба будет подниматься только на указанных интерфейсах и из инета (с интерфейса ppp0) будет не видна.

Можно задействовать оба способа: и через фаервол iptables, и через саму самбу.

~~Novator~~ ★★★★★
(29.06.15 07:34:00 MSK)
Последнее исправление: Novator 29.06.15 07:34:32 MSK (всего исправлений: 1)

iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 137,138,139,445 -j DROP
iptables -A INPUT -i ppp0 -p udp -m multiport --dport 137,138,139,445 -j DROP

sunny1983 ★★★★★
(29.06.15 11:35:03 MSK)

Ответ на: комментарий от sunny1983 29.06.15 11:35:03 MSK

о господи! зачем это? ставим правильную политику и разрешаем только то что нужно.

axelroot ★
(29.06.15 11:40:11 MSK)

Ответ на: комментарий от Novator 29.06.15 07:34:00 MSK

задать в самой samba

+++++

axelroot ★
(29.06.15 11:40:47 MSK)

Ссылка

Ответ на: комментарий от axelroot 29.06.15 11:40:11 MSK

Вообще да, «iptables -P INPUT DROP» - а потом разрешить то что нужно, сам придерживаюсь такого варианта. Но вопрос стоял, не «как открыть», а «как закрыть».

sunny1983 ★★★★★
(29.06.15 11:56:28 MSK)

Ответ на: комментарий от sunny1983 29.06.15 11:56:28 MSK

как закрыть

епт. политикой.

iptables -P INPUT DROP

правильный ответ, остальное от лукавого.

axelroot ★
(29.06.15 11:59:50 MSK)
Последнее исправление: axelroot 29.06.15 12:01:36 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Перенаправление вывода уже введённой команды

General

непонятки с флеш плеером

→

Похожие темы