Zdravím mám veřejnou IP, RB2011 a NAS Synology v domácí síti. Potřebuji na mikrotiku nastavit na pro SMB připojení z venku k tomu NASu.
Co jsem tak koukal, tak SMB používá více portů, jde to nějak nastavit v jednom, případně dvou (tcp/udp) pravidlech, nebo musím pro každý port udělat nové pravidlo. Jestliže SMB používá 4 porty, tak by to bylo celkem 8 pravidel.
Díky za odpověď.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přesměrování na NAS
Vytvoř si na tom RBčku vpnku a připojuj se přes ní. Otevírat sambu do světa není moc dobrej nápad...
0 x
Samba je zaheslovaná, tak by to zase takový problém být nemusel, nebo myslíte že by začaly pokusy o útoky?
0 x
Útoky začnou prakticky ihned. 
Ale jinak ti stačí povolit port 445.
Ale jinak ti stačí povolit port 445.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
No já to měl až do nynějška přes klasický router také nasměrováno a žádné útoky jsem nezaznamenal. No zkusím to povolit a uvidím, pokud pokusy o přihlášení začnou, tak to omezím jen na IP ze kterých potřebuji přistupovat.
0 x
Díval jsem se, za včerejšek 92 pokusů o připojení na sambu. V /etc/samba/smb.conf si povol jenom chtěné IP adresy (nebo rozsahy).
0 x
ludvik píše:Útoky začnou prakticky ihned.
Ale jinak ti stačí povolit port 445.
Povolil jsem 445 pro TCP i UDP port, ale asi to nestačí. Nemohu se připojit.
Pravidla v NAT mám takto:
Kód: Vybrat vše
2 ;;; Synology - SMB
chain=dstnat action=dst-nat to-addresses=100.0.0.2 to-ports=445 protocol=tcp dst-address=x.x.x.x
dst-port=445
3 ;;; Synology - SMB
chain=dstnat action=dst-nat to-addresses=100.0.0.2 to-ports=445 protocol=udp dst-address=x.x.x.x
dst-port=445
Kde místo x.x.x.x mám mojí veřejku.
0 x
Tak asi jiný problém. Já si povoluju fakt jenom tcp 445 ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Zkušel jsem si stejným způsobem přesměrovat i FTP a taky mi to nejede, i když jsem zakázal všechny pravidla FW. Přitom když se pokusím přípojit, tak u NAT pravidla vidím, že přiskočí pakety.
0 x
pro sambu je potreba mit porty tcp 137-139 a 145 .
u ftp zalezi jeste jedes v pasivnim nebo aktivnim modu , http://slacksite.com/other/ftp.html
Nedoporucuji ti sambu otvirat na inetu , radeji VPNku , hoodne se na to utoci a asi vi proc
u ftp zalezi jeste jedes v pasivnim nebo aktivnim modu , http://slacksite.com/other/ftp.html
Nedoporucuji ti sambu otvirat na inetu , radeji VPNku , hoodne se na to utoci a asi vi proc
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam
Na svém NAS (není to router ... ale to je teď jedno) mám:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
10M 863M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
1694 106K ACCEPT all -- lo any anywhere anywhere
218K 20M ACCEPT all -- any any tojsemja.ispforum.cz anywhere
2 92 ACCEPT tcp -- any any windows.ispforum.cz anywhere tcp dpt:microsoft-ds
2803K 323M REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable
Z "windows" si samozřejmě jednotku toho NASu připojím bez problémů.
Ty ostatní porty jsou pro NETBIOS. Ale pro windows 2000 a novější stačí port 445 - už to není SMB, ani NETBIOS, ale CIFS. Nic ti ovšem asi nebrání otevřít i 137-138 UDP a 139 TCP.
Mimochodem port 145 zde někde uvedený je úplně zbytečný. Autor měl na mysli asi 135, což je nějaký RPC - a to opravdu ven neotevírej.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
10M 863M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
1694 106K ACCEPT all -- lo any anywhere anywhere
218K 20M ACCEPT all -- any any tojsemja.ispforum.cz anywhere
2 92 ACCEPT tcp -- any any windows.ispforum.cz anywhere tcp dpt:microsoft-ds
2803K 323M REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable
Z "windows" si samozřejmě jednotku toho NASu připojím bez problémů.
Ty ostatní porty jsou pro NETBIOS. Ale pro windows 2000 a novější stačí port 445 - už to není SMB, ani NETBIOS, ale CIFS. Nic ti ovšem asi nebrání otevřít i 137-138 UDP a 139 TCP.
Mimochodem port 145 zde někde uvedený je úplně zbytečný. Autor měl na mysli asi 135, což je nějaký RPC - a to opravdu ven neotevírej.
Naposledy upravil(a) ludvik dne 07 Jun 2019 15:45, celkem upraveno 1 x.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Ok, pokud odhlédnu od Samby, tak mi ale nefunguje ani přesměrování na FTP.
Mohl by někdo mrknout a poradit:
gw.valentik.cz
demo/demo
Na pracovním MK to mám nastavené prakticky stejně a přesměrování na nas funguje.
Mohl by někdo mrknout a poradit:
gw.valentik.cz
demo/demo
Na pracovním MK to mám nastavené prakticky stejně a přesměrování na nas funguje.
0 x
Co ten rozsah adres 100.0.0.0/24 na LAN? Koukej to změnit na 10.0.0.0/24! A dst-nat přesuň nad maškarádu.
0 x
Ten rozsah jsem měl takto dokud jsem neměl veřejku a původní router, protože ISP má 10 rozsah na své síti, takže když jsem pak chtěl konfigurovat router na IP 10.0.0.1, tak mi naskakoval jejich nějaký hlavní MK.
Dneska až přijdu domů, tak rozsah změním.
Maškarádu jsem přesunul dolů, ale problém to neřeší. Koukal jsem i v práci a tam je maškaráda taky nahoře a dst-nat v pohodě funguje.
Dneska až přijdu domů, tak rozsah změním.
Maškarádu jsem přesunul dolů, ale problém to neřeší. Koukal jsem i v práci a tam je maškaráda taky nahoře a dst-nat v pohodě funguje.
0 x