Как закрыть внешний доступ по одному сетевому интерфейсу

Автор: Alex69 Дата: 30.11.2007 21:46 Есть компьютер под Windows2000 Server, он у меня смотрит одной сетевой карточкой во внешнюю локальную сеть районного провайдера, а второй карточкой - в мою внутреннюю сеть, т.е. организован доступ в интернет с помощью NAT.
Теперь я ставлю на этот компьютер в качестве второй ОС Линукс. И вот, что получается.
Под Виндоус.
1. На внешнем сетевом интерфейсе под WinServer у меня отключён клиент для сетей Майкрософт и службы принтеров, т.е. в самом общем случае этот компьютер просто так в сети не светится.
2. На внешнем сетевом интерфейсе установлен KerioWinRoute Firewall.
3. Сам сервер - контроллер домена. Т.е. гостевой доступ закрыт.

Под Линукс.
Если я захочу организовать зашаренные папки, то нужно ставить share-режим Самбы или user-режим Самбы.
Если я ставлю share-режим, то, как я понимаю, мой компьютер начинает светиться в сети и более того, к зашаренным ресурсам открывается доступ всем желающим. Если я ставлю user-режим, то будет запрашиваться пароль, но сам компьютер всё равно светится в сети, даже, если я сделаю папки скрытыми.
Как сделать так, чтобы по внешнему сетевому интерфейсу компьютер не был виден посторонним?
Возможно, нужно что-то подкрутить в файерволле?
Отключение внешнего интерфейса не подходит, т.к. в планах я хочу попробовать сделать что-то аналогичное NAT, т.е. дать доступ своим локальным машинам в интернет через этот сервер (возможно, организовать прокси).
Замечание. На этот раз речь идёт не об офисной сети, а о моей домашней сети.
Спасибо.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 01.12.2007 23:23CHPOKS День добрый.
Непонятно что значит фраза:
>1. На внешнем сетевом интерфейсе под WinServer у меня отключён клиент для >сетей Майкрософт и службы принтеров, т.е. в самом общем случае этот >компьютер просто так в сети не светится.
На этом проблема безопасности не решится, если Ваш компьютер в сети.
Так вот, чтобы я Вам посоветовал:
На первом этапе включить обе карты, и обеспечить безопасность. Для этого надо правильно настроить iptables. Есть пошаговая инструкция по настройке [www.iptables.ru] Чесно скажу, сначала я с этим не справился и поставил arno-iptables-firewall. Этого пакета нет в дистрибутиве., Естественно работа с самим iptables более профессиональна и качественна, но чайнику (коим являюсь я) он очень помог. Кроме того, в последствии Вы всегда сможете либо убрать его, либо добавить команды iptables. В конфигурационном файле дана подробная инструкция как закрыть все порты на внешнем интерфейсе. Сразу скажу, я закрыл всё, включая ICPM запросы (для того чтоб он даже на пинги не отвечал). Если Вы владеете английским на хорошем уровне, то по описаниям сами поставите., если нет - то я выкладывал перевод. Займёт это при детальном прочтении и настройки 30 минут.
[forum.asplinux.ru]
Там же Вы можете включить NAT, обеспечить интернет у себя в сети.
Затем хорошо бы найти ещё 1 линуксовый компьютер в сети, и nmap -ом проверить всё ли прошло нормально (со стороны внешнего интерфейса). Eсли все порты закрыты, то можно считать что проблема защиты от атак с наружи - решена.
Если Вы перекроете всё снаружи, то скорее всего Ваш компьютер уже не будет виден.

А теперь непосредственно по Самбе. Незнаю насколько я правильно понял, но уровни защиты share и user никоем образом не относятся к тому что виден ли Ваш компьютер в сети (у меня стоит user).
Следующий важный момент это guest ok = no надо сделать обязательно. Вот именно этот момент отвечает за то чтоб непрошеные гости к Вам не ходили.
Правда Вам надо будет:
1. прописывать всех пользователей которые будут пользоваться зашареными папками как пользователей в линуксе и самбе с одинаковыми паролями (думаю Вы знаете, но если нет опишу).
2. указать с какими правами создаются файлы в зашареных ресурсах.
А дальше - Вам остаётся только наслаждаться осознавая что Вы всё сделали отлично.)
---------------------
Либо можно сделать иначе. Что означает компьютер виден в сети? - т.е. передаётся его имя. Компьютер в локальной сети регистрируется по IP адресу, и по протоколу netbios - непосредственно его имя. Если задача чтоб его просто небыло видно - то значит надо закрыть порт по которому идёт передача имяни. Если не ошибаюсь - то это порт 139tcp. можете закрыть его. ...
Вообще описание портов /etc/services ... написано что порты 137-139, но помоему только 139.

С удовольствием прочту замечание более опытных пользователей. Упрёки что я чайник, и несу чушь, Особенно если меня поправят, и скажут что где не так.))
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 02.12.2007 00:10BigAndy >Как сделать так, чтобы по внешнему сетевому интерфейсу компьютер не был виден посторонним?
>Возможно, нужно что-то подкрутить в файерволле?
Не обязательно. можно вытащить шнур из внешнего интерфейса Улыбка
На самом деле очень трудно без знаков препинания читать, а тем более понимать...

2 CHPOKS
>С удовольствием прочту замечание более опытных пользователей. Упрёки что я чайник, и несу чушь, Особенно >если меня поправят, и скажут что где не так.))
Вобщем, все правильно.... Хорошее знание основ it всегда поможет выбрать правильный путь.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 02.12.2007 00:12Alex69 CHPOKS.
Огромное спасибо. Теперь хотя бы понятно, в каком направлении двигаться.
Насчёт безопасности - согласен. Совсем как в банке мне не требуется, хоть что-то. Я просто понятия не имел, как в Линуксе к этому подступиться.
Под Виндоус у меня на данный момент три "барьера":
- Домен
- Отключённый клиент для сетей Макрософт (как раз компьютер примитивно не виден в "Сетевом окружении";-)
- Файерволл с закрытыми портами на пинг и ICMP.
Нечто подобное буду пробовать сделать под Линукс.
Про Самбу я уже основы знаю, делал тестовый линуховый домен.
Ещё раз спасибо.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 02.12.2007 00:17Alex69 BigAndy.
>На самом деле очень трудно без знаков препинания читать, а тем более понимать...
Странно. Я философ по образованию, с логикой у меня всё в порядке и с грамотностью тоже. Полную корректуру текста я не делаю, нет времени. Но ошибок не очень много. Всё иронизируете. Ну-ну. Хозяин - барин.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 02.12.2007 01:41BigAndy Нет, не иронизирую. Просто три фразы пришлось перечитывать...

Кстати, пока использовались некоторые программы из-под виндус, я обошелся без самбы.
NFS рулит.

> (как раз компьютер примитивно не виден в "Сетевом окружении";-)
Отключить в самбе броузинг.

Да, вы все время твердите про какой-то домен? что вы под этим подразумеваете? PDC или домен named???
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 03.12.2007 10:23AVolkov BigAndy писал(а):

> Да, вы все время твердите про какой-то домен? что вы под этим
> подразумеваете? PDC или домен named???
У Свиндовс 2000 (сервер) при поднятии PDC поднимается и DNS, и DHCP, и ActiveDirectory. Так что можно предположить, что там есть все.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 03.12.2007 16:43Alex69 >Да, вы все время твердите про какой-то домен? что вы под этим подразумеваете? PDC или домен named??

PDC. Домен не один. Домен, во-первых, у меня дома, другие в конторах. Это даёт удобство администрирования по сравнению с одноранговой сетью. Дома домен - для экспериментов. Везде у меня домены под 2000-ной, а тот, который я снёс в конторе и хочу заменить на Линукс - был под 2003.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 03.12.2007 22:44CHPOKS 2 Alex69.
Может я чего-то не понял, но ни PDC, ни DNS не имеют отношения к защите от атак с наружи. (очём говорилось изначально).
Да и что сейчас об этом говорить. Мне кажется я всё достаточно подробно описал. Вы попробывали? - если что-то не сработало, говорите попробую обьяснить, а если не смогу, так тут вон сколько профи).

так что ждём результатов)
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 03.12.2007 23:55BigAndy > Так что можно предположить, что там есть все
Господа! У нас здесь не жилище шамана, чтобы гадать. Нужна точная техническая информация. Пока что моск закипает.
пока что я не могу понять, каким методом, вы хотите настроить политики безопасности. единственно известный мне меняемый способ - настройка файрвола. Есть еще один хардкорный - вытащить сетевой шнур.
Особенно смущает вот это
--->Что означает компьютер виден в сети? - т.е. передаётся его имя---

А я то, грешный, всегда думал, что это та ситуация, когда в трафике можно заснифить пакет с его (компьютера) mac-адресом.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 04.12.2007 11:55Alex69 CHPOKS.
>Может я чего-то не понял, но ни PDC, ни DNS не имеют отношения к защите от атак с наружи. (очём говорилось изначально).

Всё вы поняли правильно, не имеет никакого отношения. Меня спросили, почему я всё время говорю о домене, и о каком домене, вот я и ответил.
Пока я уже не дискутирую по этой теме, а обрабатываю полученную информацию.

BigAndy
>А я то, грешный, всегда думал, что это та ситуация, когда в трафике можно заснифить пакет с его (компьютера) mac-адресом.

А вы всё усложняете. Это в банке и в ФСБ так, как вы говорите. Мне это всё не нужно, на шлюзовом компьютере у меня нет ничего конфиденциального.
Нужно, чтобы школьники и домохозяйки в районной сети не видели мой компьютер в "Сетевом окружении" Улыбка.
Re: Как закрыть внешний доступ по одному сетевому интерфейсу 04.12.2007 20:39BigAndy Закройте самбины порты и радуйтесь. именно к этому решению я вас и подталкиваю.
Но:
>А вы всё усложняете
Ничего не усложняю. Если ваши клиенты не увидят вас в "сетевом окружении", это не значит, что они вас вообще не увидят.
Поверьте, школьники из нашей сети обнаруживают компьютеры в сети не по nmb и лома ют их ниподецки Улыбка

>Это в банке и в ФСБ так, как вы говорите
НЕт, к сожалению для вас, компьютеры общаются друг с другом по mac-адресам вне зависимости от их месторасположения - в банке,фсб, школе или в школьном сортире. (если, конечно у вас не ATM)
RSS-материал