Вирішена

Доступ к внешним SMB-ресурсам, с сети Lanet

Добрый день! У меня возникла следующая проблемка: с сети Lanet я не могу получить доступ к своему внешнему SAMBA серверу.

Проверив, все со стороны сервера, я пришел к выводу, что, по-видимому, доступ ограничен провайдером.Если подключаюсь через VPN, все нормально.

Также нет проблем при подключении с других провайдеров (КПИ-телеком, Укртелеком). Прошу помочь в решении данной проблемы, или прояснить ситуацию. Возможно Ланет блокирует 139, 445 порты на выход? Спасибо!

Коментувати

Коментарі (5)

фото
1

К сожалению netbios соединения в интернет и обратно, всегда у нас были закрыты.

Это один из шаблонов безопасности, явно препятствующий распространению сетевых червей.

В ближайшем будущем изменения не планируются.

Самостоятельно можно управлять только локальной фильтрацией netbios трафика.

Опция "сетевое окружение" в личном кабинете

фото
1

Очень жаль. Но политика, есть политика. Спасибо за прояснение ситуации. Будем использовать VPN)

фото
1

Спасибо за понимание.

Действительно, организовывать связь с устройствами через глобальную сеть, лучше с помощью использования приватных подключений по типу VPN.

С точки зрения безопасности, это более правильное решение, нежели использовать явно уязвимые протоколы.

В ближайшем будущем, при обновлении аппаратной части ядра, мы будем пересматривать все политики безопасности, на предмет их актуальности.

фото

Lanet не единственный провайдер который блокирует netbios over tcp/ip и это правильно. Ну, а если Ваш samba-ресурс смотрим в мир и при этом не прикрыт файрволом для доступа только с доверенных ip то рано или поздно, но это может закончится трагически. (Кстати, какая версия самбы?)

Общая практика, с незапамятных времён, на интерфейс клиентов вешать минимальный джентльменский набор:

  1. deny ip any 10.0.0.0 0.255.255.255
  2. deny ip any 172.16.0.0 0.15.255.255
  3. deny ip any 192.168.0.0 0.0.255.255
  4. deny ip 10.0.0.0 0.255.255.255 any
  5. deny ip 172.16.0.0 0.15.255.255 any
  6. deny ip 192.168.0.0 0.0.255.255 any
  7. deny tcp any range 135 139 any
  8. deny tcp any any range 135 139
  9. deny udp any range 135 netbios-ss any
  10. deny udp any any range 135 netbios-ss
  11. deny tcp any eq 445 any
  12. deny tcp any any eq 445

ну, а остальной рецепт кофе в ACL у каждого провайдера может разительно отличаться ;)

фото

Самба версии 2:3.5.6 на DEBIAN 2.6.32-5-686 ядре. Использую исключительно в личных целях, и вся информация которая хранится на сетевом диске дублируется и не имеет какой-либо ценности для злоумышленников. Доступ имеют только пользователи системы. Конечно в логах самбы я вижу что на нее пытаются зайти "туча левых" айпишек, но для меня важно иметь доступ к сетевому ресурсу с любой точки. Решение возможно и не очень безопасное, зато простое и удобное.