Посібники
Огляди
Різне
Проблеми
Питання
Обговорення
Увійти до профілю
Увійти через Ланет
Зареєструватися
Нова тема
РадаТемаПроблемаІнтернет
фото
Kostya Velychkovsky Додав(ла) проблема 12 р. назад
Поскаржитися
Властивості
Категорія Інтернет
Схожі теми
Вирішена

Доступ к внешним SMB-ресурсам, с сети Lanet

Добрый день! У меня возникла следующая проблемка: с сети Lanet я не могу получить доступ к своему внешнему SAMBA серверу.

Проверив, все со стороны сервера, я пришел к выводу, что, по-видимому, доступ ограничен провайдером.Если подключаюсь через VPN, все нормально.

Также нет проблем при подключении с других провайдеров (КПИ-телеком, Укртелеком). Прошу помочь в решении данной проблемы, или прояснить ситуацию. Возможно Ланет блокирует 139, 445 порты на выход? Спасибо!

5 Така ж проблема
Коментувати

Коментарі (5)

фото
1
Іщенко Володимир 12 р. назад

К сожалению netbios соединения в интернет и обратно, всегда у нас были закрыты.

Это один из шаблонов безопасности, явно препятствующий распространению сетевых червей.

В ближайшем будущем изменения не планируются.

Самостоятельно можно управлять только локальной фильтрацией netbios трафика.

Опция "сетевое окружение" в личном кабинете

Відповісти
фото
1
Kostya Velychkovsky 12 р. назад

Очень жаль. Но политика, есть политика. Спасибо за прояснение ситуации. Будем использовать VPN)

Відповісти
фото
1
Іщенко Володимир 12 р. назад

Спасибо за понимание.

Действительно, организовывать связь с устройствами через глобальную сеть, лучше с помощью использования приватных подключений по типу VPN.

С точки зрения безопасности, это более правильное решение, нежели использовать явно уязвимые протоколы.

В ближайшем будущем, при обновлении аппаратной части ядра, мы будем пересматривать все политики безопасности, на предмет их актуальности.

Відповісти
фото
Русскіх Олександр 12 р. назад

Lanet не единственный провайдер который блокирует netbios over tcp/ip и это правильно. Ну, а если Ваш samba-ресурс смотрим в мир и при этом не прикрыт файрволом для доступа только с доверенных ip то рано или поздно, но это может закончится трагически. (Кстати, какая версия самбы?)

Общая практика, с незапамятных времён, на интерфейс клиентов вешать минимальный джентльменский набор:

  1. deny ip any 10.0.0.0 0.255.255.255
  2. deny ip any 172.16.0.0 0.15.255.255
  3. deny ip any 192.168.0.0 0.0.255.255
  4. deny ip 10.0.0.0 0.255.255.255 any
  5. deny ip 172.16.0.0 0.15.255.255 any
  6. deny ip 192.168.0.0 0.0.255.255 any
  7. deny tcp any range 135 139 any
  8. deny tcp any any range 135 139
  9. deny udp any range 135 netbios-ss any
  10. deny udp any any range 135 netbios-ss
  11. deny tcp any eq 445 any
  12. deny tcp any any eq 445

ну, а остальной рецепт кофе в ACL у каждого провайдера может разительно отличаться ;)

Відповісти
фото
Kostya Velychkovsky 12 р. назад

Самба версии 2:3.5.6 на DEBIAN 2.6.32-5-686 ядре. Использую исключительно в личных целях, и вся информация которая хранится на сетевом диске дублируется и не имеет какой-либо ценности для злоумышленников. Доступ имеют только пользователи системы. Конечно в логах самбы я вижу что на нее пытаются зайти "туча левых" айпишек, но для меня важно иметь доступ к сетевому ресурсу с любой точки. Решение возможно и не очень безопасное, зато простое и удобное.

Відповісти

Коментувати

 
Прикріпити файли