Тех. Помощь тут ==>>

[Haxxproxx!]

А какое логирование стоит в самбе?

Такое пробовали? http://avz.org.ua/wp/2010/03/05/samba-detailed-logging/

UPD:
А стоп, если нашли кто пихает червя, почему бы его не забанить на обеих портах?

[7IAP_Razor]

Samba и SSH наружу открыты.

Ага.
В smb.conf
[global]
interfaces = eth1 lo - изначально так
bind interfaces only = yes - добавил

где eth1 - Ваша локалка.

2. /etc/ssh/sshd_config

Раскоментировать и поставить ListenAddress 192.168.1.1, где айпишник - локальный адрес Вашего сервера. - не хотелось бы, часто мониторю из дома. fai2ban пока спасает ситуацию

P.S. iptables настроен не очень.

Я бы сделал так:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT (eth1 - внутренний интерфейс)
-A INPUT -s 11.12.13.0/24 -j ACCEPT (разрешенные подсети)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT (это правило для 80-го порта, нужно делать для Ваших портов, которые надо открыть извне(я так понимаю у вас это только pptp))
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited (Всё, что не разрешено - запрещено)

Если сервер раздаёт интернеты - то ещё добавить правило для маскарадинга перед REJECT'ами. - я чуть позже скину свою таблицу, в принципе она практически как ваша (скину отдельным постом)

И я сомневаюсь что 21-й порт тоже надо держать открытым. - фтп - я никуда не денусь, рабочая потребность

[7IAP_Razor]

echo 1 > /proc/sys/net/ipv4/ip_forward
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE - внутренняя сетка
-t nat -A POSTROUTING -p tcp --destination-port 443 -j MASQUERADE - отдельно мимо сквида

http на Squid
-t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.3:3128

ответы из внешней сети
-A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

доступ снаружи во внутреннюю сеть
-A FORWARD -i eth0 -o eth1 -j REJECT

[7IAP_Razor]

Цитата:

Повідомлення від Haxxproxx!

А какое логирование стоит в самбе?

Такое пробовали? http://avz.org.ua/wp/2010/03/05/samba-detailed-logging/

UPD:
А стоп, если нашли кто пихает червя, почему бы его не забанить на обеих портах?

лазит с разных адресов, но результатом всегда вирус в шаре

[7IAP_Razor]

Цитата:

Повідомлення від Light Elf

А это с интернета просканировано?

нет, с внутренней сетки с указанием внешнего адреса нмапу

[Light Elf]

Цитата:

Повідомлення від 7IAP_Razor

echo 1 > /proc/sys/net/ipv4/ip_forward
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE - внутренняя сетка
-t nat -A POSTROUTING -p tcp --destination-port 443 -j MASQUERADE - отдельно мимо сквида

http на Squid
-t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.3:3128

ответы из внешней сети
-A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

доступ снаружи во внутреннюю сеть
-A FORWARD -i eth0 -o eth1 -j REJECT

Вот видите, у вас только FORWARD зарезаны, а входящие не зарезаны.
Порежьте ещё входящие.

[Light Elf]

Цитата:

Повідомлення від 7IAP_Razor

нет, с внутренней сетки с указанием внешнего адреса нмапу

Проверьте с интернета.
Нагуглите например nmap через интернет.

[7IAP_Razor]

[zalet]
path = /data/zalet/%m-%I
browseable = yes
guest ok = yes
writeable = yes
root preexec = /bin/mkdir /data/zalet/%m-%I
create mask = 0777
directory mask = 0777

мини-скриптик на шаре, только так получилось его увидеть

[7IAP_Razor]

Цитата:

Повідомлення від Light Elf

Вот видите, у вас только FORWARD зарезаны, а входящие не зарезаны.
Порежьте ещё входящие.

Да, спасибо за совет. Порежу и через пару дней отпишусь, помогло ли.

[Haxxproxx!]

А если в глобале выставить security = user и после этого дать на разные шары вход гостем но без пароля.
Таки да, проходной двор у Вас на input)