Доступ к папкам Samba через VPN роутера (вопрос по iptables)

0

1

Cобрал сервер, поставил Centos, начинаю изучать линукс.
Установил Самбу.
В локальной сети доступ есть.

Хочу подключаться удаленно через VPN роутера.

Пробовал разные настройки iptables, но доступ получился с этими:
-A INPUT -i eth+ -m pkttype --pkt-type broadcast -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp -m multiport --dports 139,445 -j ACCEPT
-A INPUT -i eth+ -p udp -m udp -m multiport --dports 137,138 -j ACCEPT

Также после первоначальной настройки Centos прописаны следующие параметры:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2274 -j ACCEPT

Теперь возникает вопрос - корректны ли данные параметры и безопасно ли такое подключение?

Ссылка

←	Очередной вопрос про шифрование и «облака»

Вопрос по пробросу портов в виртуальной машине

→

не понятна структура сети.

Где Centos стоит? где VPN стоит? и где стоит роутер? Где стоит Samba? Где ты пишешь правила iptables? лучше нарисуй.

Если у тебя на CentOS стоит SAMBA и на этом же серваке ты правила iptables пишешь,то чето ты перемудрил, по-моему:

iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT

, этого достаточно для того чтобьы внутри локалки пользователи могли цепляться к samba серверу.

Acceptor ★★
(01.04.15 23:08:26 MSK)

Ответ на: комментарий от Acceptor 01.04.15 23:08:26 MSK

Я думаю его интересует доступ к samba с клиента вне локальной сети через vpn.

dvrts ★★★
(01.04.15 23:15:39 MSK)

Ответ на: комментарий от Acceptor 01.04.15 23:08:26 MSK

Сервер Centos + Samba подключен к роутеру Asus с включенным VPN (статический IP). Удаленно через интернет запускаю VPN клиент виндоус и подключаюсь через VPN роутера к серверу.

crius
(01.04.15 23:19:36 MSK) автор топика

Ссылка

Ответ на: комментарий от dvrts 01.04.15 23:15:39 MSK

Тогда ничего меняться не должно. И коннект через VPN должен устанавливаться.

безопасно ли такое подключение?

С точки зрения доступа из глобального инета - настолько безопасно насколько взломоустойчив выбранный тобою VPN и насколько он корректно настроен

С точки зрения локалки - можно попробовать натравить fail2ban и блочить попытки перебора паролей, хотя samba - это то еще сито ( http://habrahabr.ru/post/182954/ )

Acceptor ★★
(01.04.15 23:31:23 MSK)
Последнее исправление: Acceptor 01.04.15 23:32:06 MSK (всего исправлений: 1)

Ответ на: комментарий от Acceptor 01.04.15 23:31:23 MSK

VPN ведь штатный роутера Asus, поэтому выбирать особо не из чего =)

Изначально планировалось использовать сервер под Астериск (еще не ставил). Далее подумал чем загрузить еще и решил разместить на нем хранилище файлов, торрент качалку. Особо конф информации нет, кроме семейного альбома.

Вот теперь и терзают смутные сомнения, не безопасно ли такое совмещение функций.

crius
(01.04.15 23:45:27 MSK) автор топика

Ответ на: комментарий от crius 01.04.15 23:45:27 MSK

подними http://seafile.com/en/home/ решение куда надежнее и современнее, чем самба.

Acceptor ★★
(02.04.15 12:05:08 MSK)

Ответ на: комментарий от Acceptor 02.04.15 12:05:08 MSK

Спасибо за вариант.
Получается вообще без Самбы можно обойтись в данном медиахранилище?
Т.е. для проигрывания контента с плееров, телевизоров ставим DLNA, а с windows машин ставим Seafile?

A webdav как?

crius
(02.04.15 14:31:59 MSK) автор топика

Ответ на: комментарий от crius 02.04.15 14:31:59 MSK

Хм.. вот DLNA скорее всего не получится с seafile, тогда придется samba ковырять

Acceptor ★★
(02.04.15 15:58:50 MSK)

Ответ на: комментарий от Acceptor 02.04.15 15:58:50 MSK

А если Самба для локальных клиентов только (плеер, вин ПК), а для внешнего доступа к документам, фотографиям использовать sealife или webdav так нормально?

Не пойму, или наличие Самбы само по себе небезопасно?!

Или ставить openVPN на сервер, что видимо безопаснее VPN на роутере?

crius
(02.04.15 16:27:34 MSK) автор топика

Ответ на: комментарий от crius 02.04.15 16:27:34 MSK

Или ставить openVPN на сервер, что видимо безопаснее VPN на роутере?

VPN на роутере - сойдет )

Самба для локальных клиентов только (плеер, вин ПК), а для внешнего доступа к документам, фотографиям использовать sealife

сифайл умеет работать через web и через собственного клиента и только для конкретного юзера, просто взять и подложить файлы в какую-то директорию и потом сказать сифайлу: «вот это вот /srv/data бери и раздавай» - не получится.

Acceptor ★★
(02.04.15 17:29:57 MSK)