|
View Poll Results: Нужен ли этот ТОП??? | |||
Да!!! | 448 | 81.75% | |
Нет(*_*) | 100 | 18.25% | |
Ті, хто голосували: 548. You may not vote on this poll |
|
Опції теми | Опції перегляду |
05-06-2015, 14:59 | #9701 |
Ветеран
Реєстрація: Mar 2008
Повідомлення: 2,029
|
А какое логирование стоит в самбе?
Такое пробовали? http://avz.org.ua/wp/2010/03/05/samba-detailed-logging/ UPD: А стоп, если нашли кто пихает червя, почему бы его не забанить на обеих портах? |
05-06-2015, 15:04 | #9702 |
Ветеран
|
Samba и SSH наружу открыты.
Ага. В smb.conf [global] interfaces = eth1 lo - изначально так bind interfaces only = yes - добавил где eth1 - Ваша локалка. 2. /etc/ssh/sshd_config Раскоментировать и поставить ListenAddress 192.168.1.1, где айпишник - локальный адрес Вашего сервера. - не хотелось бы, часто мониторю из дома. fai2ban пока спасает ситуацию P.S. iptables настроен не очень. Я бы сделал так: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT (eth1 - внутренний интерфейс) -A INPUT -s 11.12.13.0/24 -j ACCEPT (разрешенные подсети) -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT (это правило для 80-го порта, нужно делать для Ваших портов, которые надо открыть извне(я так понимаю у вас это только pptp)) -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited (Всё, что не разрешено - запрещено) Если сервер раздаёт интернеты - то ещё добавить правило для маскарадинга перед REJECT'ами. - я чуть позже скину свою таблицу, в принципе она практически как ваша (скину отдельным постом) И я сомневаюсь что 21-й порт тоже надо держать открытым. - фтп - я никуда не денусь, рабочая потребность |
05-06-2015, 15:12 | #9703 |
Ветеран
|
echo 1 > /proc/sys/net/ipv4/ip_forward
-A INPUT -i lo -j ACCEPT -A FORWARD -i eth1 -o eth0 -j ACCEPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE - внутренняя сетка -t nat -A POSTROUTING -p tcp --destination-port 443 -j MASQUERADE - отдельно мимо сквида http на Squid -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.3:3128 ответы из внешней сети -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT доступ снаружи во внутреннюю сеть -A FORWARD -i eth0 -o eth1 -j REJECT |
05-06-2015, 15:14 | #9704 | |
Ветеран
|
Цитата:
|
|
05-06-2015, 15:15 | #9705 |
Ветеран
|
|
05-06-2015, 15:16 | #9706 | |
Ветеран
Реєстрація: Aug 2007
Повідомлення: 2,239
|
Цитата:
Порежьте ещё входящие.
__________________
Я вижу оптики нить И с меди счищаю лак И если один скажет SYN, Кто-то ж ответит ACK… |
|
05-06-2015, 15:17 | #9707 |
Ветеран
Реєстрація: Aug 2007
Повідомлення: 2,239
|
Проверьте с интернета.
Нагуглите например nmap через интернет.
__________________
Я вижу оптики нить И с меди счищаю лак И если один скажет SYN, Кто-то ж ответит ACK… |
05-06-2015, 15:27 | #9708 |
Ветеран
|
[zalet]
path = /data/zalet/%m-%I browseable = yes guest ok = yes writeable = yes root preexec = /bin/mkdir /data/zalet/%m-%I create mask = 0777 directory mask = 0777 мини-скриптик на шаре, только так получилось его увидеть |
05-06-2015, 15:29 | #9709 |
Ветеран
|
|
05-06-2015, 15:47 | #9710 |
Ветеран
Реєстрація: Mar 2008
Повідомлення: 2,029
|
А если в глобале выставить security = user и после этого дать на разные шары вход гостем но без пароля.
Таки да, проходной двор у Вас на input) |
Мітки |
help desk |
|
|