SMB - Verbindung von Aussen

[Centro]

Hallo,

weil das Wetter so schlecht ist heut mal was zum knobeln!

Ich habe auf meinem Rootie einen Samba Server der Aktuellsten Generation laufen welcher "EIGENTLICH" nur über VPN zugänglich sein sollte.

Ich kann mich zwar ausserhalb des VPNs auch nicht auf dem Samba einloggen aber bekomme im "warn" täglich unzählige Meldungen das jemand an meinen Samba will! - Hier bin ich momentan echt überfragt wie das kommt!

Hier anbei mal die Meldung sowie die SMB.conf

May 28 12:35:29 deltaxxx smbd[30471]: [2007/05/28 12:35:29, 0] lib/access.c:check_access(327)
May 28 12:35:29 deltaxxx smbd[30471]:   Denied connection from  (85.24.166.250)

Samba Conf:

# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2007/02/04 18:07:25

[global]
        load printers = no
        socket options = TCP_NODELAY
        include = /etc/samba/dhcp.conf
        logon drive = P:
        hosts allow = 10.10.10.
        username map = /etc/samba/smbusers
        map to guest = Bad User
        domain master = No
        logon home = \\%L\%U\.9xprofile
        printer admin = @ntadmin, root, administrator
        available = no
        cups options = raw
        netbios name = TUX-NET
        browseable = no
        logon path = \\%L\profiles\.msprofile
        workgroup = TUX-NET
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$



[samba3]
        browseable = yes
        comment = Files and More
        valid users = Susanne
        writeable = yes
        path = /samba3
        available = yes
        hosts allow = 10.10.10.3

[DatenSusanne]
        writeable = yes
        path = /home/Susanne/Daten
        available = yes
        hosts allow = 10.10.10.3

Wie kann ich die Kiste nach Aussen hin komplett abschotten?

Thx für jeden Tipp!
Greetz Centro

 

[gunnarh]

Wie kann ich die Kiste nach Aussen hin komplett abschotten?

Dass Zugriffe von Hosts die nicht unter "hosts allow" gelistet sind protokolliert werden ist ein Feature - die Zugriffsversuche schlagen ja (ohne Firewall) trotzdem am Samba auf.

abschotten daher klarerweise mit Firewall (im einfachsten Fall vermutlich iptables). Die Vorgangsweise wäre hier jedoch sinnvollerweise nicht die 3 SMB Ports zu sperren, sondern gleich alles zu sperren und nur jene Dienste zuzulassen die man nach außen hin erreichbar machen möchte.

 

[Centro]

So weit bin ich auch schon gewesen. Aber durch sperren der kompletten Firewall connected mein OpenVPN nicht mehr vernünftig! -- Ich kann den VPN Port freigeben, das hilft aber rein garnichts, da er dann nicht mal ne IP vom Server bekommt! Deswegen is die Firewall aus!

Andere Lösung wäre hier nur eine generelle sperre auf die SMB Ports zu legen!

Noch andere Vorschläge? - Vielleicht auch noch einen Tipp zu OpenVPN, obwohl ich da schon alles probiert habe!

 

[Firewire2002]

Nutzt du Tun oder TAP?
Für TAP hät ich ein selbstgeschriebenes IPTables Script.

Inwieweit das bei TUN anders aussehen müsste, kann ich nicht sagen, TUN war mir zu umständlich.

 

[Centro]

Momentan nutze ich Tun aber auch eine Umstellung auf Tap ist in 10 Minuten passiert! -- Also mal her damit!

 

[Firewire2002]

Die Portfreigaben hab ich ein bisschen eingekürzt.
Sind dann den eigenen Bedürfnissen natürlich anzupassen.

50194 ist mein OpenVPN Port.