здравствуйте все. есть такая проблема:
есть сервер с samba и он же мост между lan и www.
eth0 смотрит в локалку, а eth1 в интернет
хотел сделать невидимым samba и X снаружи.
где-то прочитал такую инфу:
"Создадим цепочку, через которую пойдет весь трафик от провайдера:
ipchains -N prov
ipchains -A input -i eth0 -j prov
На всякий случай запретим телнет снаружи:
ipchains -A prov -p tcp --destination-port 23 -j REJECT
Если хотите, чтобы samba не светилась наружу, запретите порты 137-139
ipchains -A prov -p tcp --destination-port 137 -j REJECT
ipchains -A prov -p udp --destination-port 137 -j REJECT
то же с портами 138, 129"
-----------
ок, пишем:
iptables -N prov
iptables -A INPUT -i eth1 -j prov
запретим телнет снаружи:
iptables -A prov -p tcp --destination-port 23 -j REJECT
запретим samba:
iptables -A prov -p tcp --destination-port 139 -j REJECT
iptables -A prov -p udp --destination-port 139 -j REJECT
запретим X11:
iptables -A prov -p tcp --destination-port 6000 -j REJECT
iptables -A prov -p udp --destination-port 6000 -j REJECT

а порты 139 и 6000 все равно видны. не подскажете, где моя ошибка?
спасибо.

• как перекрыть доступ к порту 139? снаружи?,Sutry, 16:14 , 10-Ноя-03
  • как перекрыть доступ к порту 139? снаружи?,kA, 16:17 , 10-Ноя-03
  • как перекрыть доступ к порту 139? снаружи?,kmxb, 20:05 , 10-Ноя-03
    • как перекрыть доступ к порту 139? снаружи?,dev, 00:23 , 11-Ноя-03
      • как перекрыть доступ к порту 139? снаружи?,ASh, 10:01 , 11-Ноя-03
        • как перекрыть доступ к порту 139? снаружи?,DogEater, 10:48 , 11-Ноя-03
        • как перекрыть доступ к порту 139? снаружи?,kA, 11:45 , 11-Ноя-03
• как перекрыть доступ к порту 139? снаружи?,noname, 14:03 , 11-Ноя-03
  • как перекрыть доступ к порту 139? снаружи?,kA, 14:45 , 11-Ноя-03

А сама самба слушает только локальную сеть?
        interfaces = 10.1.2.102/24
        hosts allow = 10.1.2.

>А сама самба слушает только локальную сеть?
да

>А сама самба слушает только локальную сеть?
т.е. можно не бояться? :)
а все же как же? :)
ладно, пойду еще почитаю.

>>А сама самба слушает только локальную сеть?
>т.е. можно не бояться? :)
>а все же как же? :)
>ладно, пойду еще почитаю.

Надо посмотреть
netstat -atun

убедиться в наличии записей
0.0.0.0:13{7,8,9}

и продолжать бояться :)

>>>А сама самба слушает только локальную сеть?
>>т.е. можно не бояться? :)
>>а все же как же? :)
>>ладно, пойду еще почитаю.

        hosts allow = 192.168.0. 127.
        interfaces = 192.168.0.1 lo
        bind interfaces only = Yes

И твоя самба станет белой и пушистой

>>>>А сама самба слушает только локальную сеть?
>>>т.е. можно не бояться? :)
>>>а все же как же? :)
>>>ладно, пойду еще почитаю.
>
>        hosts allow = 192.168.0.
>127.
>        interfaces = 192.168.0.1 lo
>
>        bind interfaces only =
>Yes
>
>И твоя самба станет белой и пушистой

a nmbd  разьве не на всех интерфейсах слушает?
smbd  привязать - пожалуйста а nmbd у меня лично не получилось

>hosts allow = 192.168.0. 127.
>interfaces = 192.168.0.1 lo
>bind interfaces only = Yes
>И твоя самба станет белой и пушистой

не помогает это все,
еще раз пошел читать iptables-t, получится, расскажу.

пока пробовал вот так,но не вышло:

/usr/sbin/iptables -F
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t mangle -F

/usr/sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xxx.xxx.xxx.xxx(мой IP)
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -A FORWARD -i eth1 -o eth1 -j REJECT

/usr/sbin/iptables -N prov1
/usr/sbin/iptables -A INPUT -i eth1 -j prov1

/usr/sbin/iptables -N prov2
/usr/sbin/iptables -A INPUT -i ppp+ -j prov2

/usr/sbin/iptables -A prov1 -p tcp --destination-port 135:139 -j REJECT
/usr/sbin/iptables -A prov1 -p udp --destination-port 135:139 -j REJECT
/usr/sbin/iptables -A prov2 -p tcp --destination-port 135:139 -j REJECT
/usr/sbin/iptables -A prov2 -p udp --destination-port 135:139 -j REJECT

/usr/sbin/iptables -A prov1 -p tcp --destination-port 6000 -j REJECT
/usr/sbin/iptables -A prov1 -p udp --destination-port 6000 -j REJECT
/usr/sbin/iptables -A prov2 -p tcp --destination-port 6000 -j REJECT
/usr/sbin/iptables -A prov2 -p udp --destination-port 6000 -j REJECT

>здравствуйте все. есть такая проблема:
>есть сервер с samba и он же мост между lan и www.
>
>eth0 смотрит в локалку, а eth1 в интернет
>хотел сделать невидимым samba и X снаружи.
>где-то прочитал такую инфу:
>"Создадим цепочку, через которую пойдет весь трафик от провайдера:
>ipchains -N prov
>ipchains -A input -i eth0 -j prov
>На всякий случай запретим телнет снаружи:
>ipchains -A prov -p tcp --destination-port 23 -j REJECT
>Если хотите, чтобы samba не светилась наружу, запретите порты 137-139
>ipchains -A prov -p tcp --destination-port 137 -j REJECT
>ipchains -A prov -p udp --destination-port 137 -j REJECT
>то же с портами 138, 129"
>-----------
>ок, пишем:
>iptables -N prov
>iptables -A INPUT -i eth1 -j prov
>запретим телнет снаружи:
>iptables -A prov -p tcp --destination-port 23 -j REJECT
>запретим samba:
>iptables -A prov -p tcp --destination-port 139 -j REJECT
>iptables -A prov -p udp --destination-port 139 -j REJECT
>запретим X11:
>iptables -A prov -p tcp --destination-port 6000 -j REJECT
>iptables -A prov -p udp --destination-port 6000 -j REJECT
>
>а порты 139 и 6000 все равно видны. не подскажете, где моя
>ошибка?
>спасибо.

Начнем с того, КАК они видны. Видны при внешнем сканировании с помощью чего-то типа nmap? Или видны при выводе команды netstat -an?

Если первый случай - значит файрволл твой не работает. Во втором случае (если файрволл настроен все таки правильно). порты по netstat будут видны, но iptables просто не пропустят к ним извне запрос.

кстати, если правильно написаны host allow и interfaces - то Самба и сама все нежелательные запросы рубит

>Начнем с того, КАК они видны. Видны при внешнем сканировании с помощью
>чего-то типа nmap? Или видны при выводе команды netstat -an?
именно nmap.