Restreindre serveur Samba à UNE ip interne

Support Debian
#1

Bonjour à tous

Voilà je me décide a écrire un topic car je n’arrive pas à trouver précisement ce que je veux et ne connaissant pas assez Iptables, je m’en remet à vous :slightly_smiling:

Ce que je cherche à faire est pourtant simple ; j’aimerais bloquer l’accès non seulement depuis l’extérieur (internet) mais aussi en local à mon serveur samba SAUF une seule Ip, en l’occurrence 192.168.0.14.

Est-il possible de faire cela simplement avec une ou plusieurs règles iptables ? (Il s’agit des ports 139 et 445 à filtrer).

Ou alors faut-il le faire via Samba lui même ? J’ai déjà limité l’accès à un seul utilisateur.

Cela-dit je ne trouve pas ça assez sécurisé, j’aimerais que les ports en question ne soient pas perméables (voir invisibles) depuis l’extérieur, pour être ainsi moins sujet aux exploits.

PS : J’utilise Lenny, iptables 1.4.2 et Samba 3.2.5 et le serveur est 192.168.0.10 sur l’interface eth2.

D’avance merci et bonne journée !

:smt002

#2

pour information tu autorise d’abord et tu interdit aprés
tu vas devoir faire deux ligne dans ton iptable une pour sortir l’autre pour rentrée avec ton numéro de port

j’espére t avoir aider un petit peu

#3

Tu as les directives “hosts allow” et “hosts deny” pour le fichier de configuration de SaMBa (/etc/samba/smb.conf)

#4

Merci d’avoir répondu :smt002

Oui cette partie là est bien configurée :

    hosts deny = ALL
    hosts allow = 192.168.0.14

Seulement les ports restent toujours visibles et ouverts depuis l’extérieur du réseau. Et je sais qu’exploiter les quelques vulnérabilités de Samba, ça n’est pas la croix et la bannière.

Ceci-dit j’aimerais qu’après un nmap par exemple les ports ne soient plus visibles afin d’éviter les éventuelles attaques.

J’ai peut-être l’air un peu parano mais ne vous en faites pas, je le suis. :mrgreen:

Merci à vous les mecs !

Bonne soirée :smt002

#5

Salut,

Pour les paranos, voici une autres piste…

[code]#### Networking ####

The specific set of interfaces / networks to bind to

This can be either the interface name or an IP address/netmask;

interface names are normally preferred

interfaces = eth0:1

Only bind to the named interfaces and/or networks; you must use the

‘interfaces’ option above to use this.

It is recommended that you enable this feature if your Samba machine is

not protected by a firewall or is a firewall itself. However, this

option cannot handle dynamic or non-broadcast interfaces correctly.

bind interfaces only = true

IP restriction

hosts allow = 172.16.32.1 172.16.32.2 172.16.32.3
hosts deny = 192.168.0.0

[/code]

Sur mon serveur, j’ai créer une sous-interface en + de eth0; ici eth0:1; exprès pour le réseau samba. Avec pour subnet 172.16.32.0/16 !!(c’est juste un choix personnel. Classe B).
En gros, Je dis à samba de n’écouter que sur cette sous-interface!!

La suite est suffisement clair. On accepte certaines IP et on en refuse d’autres. Dans ce cas, le “host deny” est vraiment de la parano puisqu’en principe seul le range d’IP concernant l’eth0:1 auras éventuellement un accès. Mais au cas où…

A+

Debcool