classic.ISPforum.cz

Zdravím mám veřejnou IP, RB2011 a NAS Synology v domácí síti. Potřebuji na mikrotiku nastavit na pro SMB připojení z venku k tomu NASu.

Co jsem tak koukal, tak SMB používá více portů, jde to nějak nastavit v jednom, případně dvou (tcp/udp) pravidlech, nebo musím pro každý port udělat nové pravidlo. Jestliže SMB používá 4 porty, tak by to bylo celkem 8 pravidel.

Díky za odpověď.

Vytvoř si na tom RBčku vpnku a připojuj se přes ní. Otevírat sambu do světa není moc dobrej nápad...

Samba je zaheslovaná, tak by to zase takový problém být nemusel, nebo myslíte že by začaly pokusy o útoky?

Útoky začnou prakticky ihned.

Ale jinak ti stačí povolit port 445.

No já to měl až do nynějška přes klasický router také nasměrováno a žádné útoky jsem nezaznamenal. No zkusím to povolit a uvidím, pokud pokusy o přihlášení začnou, tak to omezím jen na IP ze kterých potřebuji přistupovat.

Díval jsem se, za včerejšek 92 pokusů o připojení na sambu. V /etc/samba/smb.conf si povol jenom chtěné IP adresy (nebo rozsahy).

ludvik píše:Útoky začnou prakticky ihned.

Ale jinak ti stačí povolit port 445.

Povolil jsem 445 pro TCP i UDP port, ale asi to nestačí. Nemohu se připojit.

Pravidla v NAT mám takto:

Kde místo x.x.x.x mám mojí veřejku.

Tak asi jiný problém. Já si povoluju fakt jenom tcp 445 ...

Zkušel jsem si stejným způsobem přesměrovat i FTP a taky mi to nejede, i když jsem zakázal všechny pravidla FW. Přitom když se pokusím přípojit, tak u NAT pravidla vidím, že přiskočí pakety.

pro sambu je potreba mit porty tcp 137-139 a 145 .
u ftp zalezi jeste jedes v pasivnim nebo aktivnim modu , http://slacksite.com/other/ftp.html

Nedoporucuji ti sambu otvirat na inetu , radeji VPNku , hoodne se na to utoci a asi vi proc

Na svém NAS (není to router ... ale to je teď jedno) mám:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
10M 863M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
1694 106K ACCEPT all -- lo any anywhere anywhere
218K 20M ACCEPT all -- any any tojsemja.ispforum.cz anywhere
2 92 ACCEPT tcp -- any any windows.ispforum.cz anywhere tcp dpt:microsoft-ds
2803K 323M REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable

Z "windows" si samozřejmě jednotku toho NASu připojím bez problémů.

Ty ostatní porty jsou pro NETBIOS. Ale pro windows 2000 a novější stačí port 445 - už to není SMB, ani NETBIOS, ale CIFS. Nic ti ovšem asi nebrání otevřít i 137-138 UDP a 139 TCP.

Mimochodem port 145 zde někde uvedený je úplně zbytečný. Autor měl na mysli asi 135, což je nějaký RPC - a to opravdu ven neotevírej.

Ok, pokud odhlédnu od Samby, tak mi ale nefunguje ani přesměrování na FTP.
Mohl by někdo mrknout a poradit:

gw.valentik.cz
demo/demo

Na pracovním MK to mám nastavené prakticky stejně a přesměrování na nas funguje.

Co ten rozsah adres 100.0.0.0/24 na LAN? Koukej to změnit na 10.0.0.0/24! A dst-nat přesuň nad maškarádu.

Ten rozsah jsem měl takto dokud jsem neměl veřejku a původní router, protože ISP má 10 rozsah na své síti, takže když jsem pak chtěl konfigurovat router na IP 10.0.0.1, tak mi naskakoval jejich nějaký hlavní MK.
Dneska až přijdu domů, tak rozsah změním.
Maškarádu jsem přesunul dolů, ale problém to neřeší. Koukal jsem i v práci a tam je maškaráda taky nahoře a dst-nat v pohodě funguje.

Tak dej normální 192.168.x.x/24 Rozsah 100.0.0.0 je veřejný rozsah.