LINUX.ORG.RU
ФорумSecurity

Доступ к папкам Samba через VPN роутера (вопрос по iptables)

 , ,


0

1

Cобрал сервер, поставил Centos, начинаю изучать линукс.
Установил Самбу.
В локальной сети доступ есть.

Хочу подключаться удаленно через VPN роутера.

Пробовал разные настройки iptables, но доступ получился с этими:
-A INPUT -i eth+ -m pkttype --pkt-type broadcast -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp -m multiport --dports 139,445 -j ACCEPT
-A INPUT -i eth+ -p udp -m udp -m multiport --dports 137,138 -j ACCEPT

Также после первоначальной настройки Centos прописаны следующие параметры:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2274 -j ACCEPT

Теперь возникает вопрос - корректны ли данные параметры и безопасно ли такое подключение?


не понятна структура сети.

Где Centos стоит? где VPN стоит? и где стоит роутер? Где стоит Samba? Где ты пишешь правила iptables? лучше нарисуй.

Если у тебя на CentOS стоит SAMBA и на этом же серваке ты правила iptables пишешь,то чето ты перемудрил, по-моему: 

iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT
, этого достаточно для того чтобьы внутри локалки пользователи могли цепляться к samba серверу.

Acceptor ★★
()
Ответ на: комментарий от Acceptor

Сервер Centos + Samba подключен к роутеру Asus с включенным VPN (статический IP). Удаленно через интернет запускаю VPN клиент виндоус и подключаюсь через VPN роутера к серверу.

crius
() автор топика
Ответ на: комментарий от dvrts

Тогда ничего меняться не должно. И коннект через VPN должен устанавливаться.

безопасно ли такое подключение?

С точки зрения доступа из глобального инета - настолько безопасно насколько взломоустойчив выбранный тобою VPN и насколько он корректно настроен

С точки зрения локалки - можно попробовать натравить fail2ban и блочить попытки перебора паролей, хотя samba - это то еще сито ( http://habrahabr.ru/post/182954/ )

Acceptor ★★
()
Последнее исправление: Acceptor (всего исправлений: 1)
Ответ на: комментарий от Acceptor

VPN ведь штатный роутера Asus, поэтому выбирать особо не из чего =)

Изначально планировалось использовать сервер под Астериск (еще не ставил). Далее подумал чем загрузить еще и решил разместить на нем хранилище файлов, торрент качалку. Особо конф информации нет, кроме семейного альбома.

Вот теперь и терзают смутные сомнения, не безопасно ли такое совмещение функций.

crius
() автор топика
Ответ на: комментарий от Acceptor

Спасибо за вариант.
Получается вообще без Самбы можно обойтись в данном медиахранилище?
Т.е. для проигрывания контента с плееров, телевизоров ставим DLNA, а с windows машин ставим Seafile?

A webdav как?

crius
() автор топика
Ответ на: комментарий от Acceptor

А если Самба для локальных клиентов только (плеер, вин ПК), а для внешнего доступа к документам, фотографиям использовать sealife или webdav так нормально?

Не пойму, или наличие Самбы само по себе небезопасно?!

Или ставить openVPN на сервер, что видимо безопаснее VPN на роутере?

crius
() автор топика
Ответ на: комментарий от crius

Или ставить openVPN на сервер, что видимо безопаснее VPN на роутере?

VPN на роутере - сойдет )

Самба для локальных клиентов только (плеер, вин ПК), а для внешнего доступа к документам, фотографиям использовать sealife

сифайл умеет работать через web и через собственного клиента и только для конкретного юзера, просто взять и подложить файлы в какую-то директорию и потом сказать сифайлу: «вот это вот /srv/data бери и раздавай» - не получится.

Acceptor ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security