#101 Le 25/12/2014, à 17:23
- tiramiseb
Re : Configuration d'iptables
C'est quoi d'ailleurs 0.0.0.0 , je pensais qu'il n'y avait que 127.0.0.1 et les adresses IP des cartes réseaux.
"0.0.0.0" signifie "toutes les adresses". Pense notamment aux masques de sous-réseau : par exemple 192.168.0.0/255.255.255.0 pointe vers "toutes les adresses de 192.168.0.0 à 192.168.0.255".
La notation "0.0.0.0" est souvent utilisée, justement, quand on parle d'écoute sur le réseau. Quand on écoute sur 0.0.0.0, cela veut dire qu'on écoute sur toutes les adresses desservies par la machine.
mais si je comprend bien, je devrais créer et utiliser un compte autre que mon compte administrateur pour me connecter
Je ne suis pas d'accord. À partir du moment où ta méthode d'authentification est vraiment sécurisée (donc clé SSH), alors on peut se connecter directement sur un compte privilégié, même sur root.
Pour ma part je me connecte directement en root sur mes serveurs, avec une clé SSH. Et comme toi, je n'ai aucun accès local à mes serveurs.
je me suis aperçue qu'une ligne UDP/nmbd était sur une adresse IP public qui m'est inconnue et qui se termine par 255 ( 77.xxx.xxx.255)
On ne le voit pas dans ton message #61, vu que tu as caché une grosse majorité d'adresses IP. Dans tous les cas, il faut bien sûr que Samba n'écoute pas sur ton adresse IP publique.
sauf que le second xxx ne correspond pas à mon IP public.
Il faut que tu approfondisse les concepts de classes de réseau, etc. Il est tout à fait possible que ton réseau n'aile pas de 77.xxx.xxx.0 à 77.xxx.xxx.255 : cela n'est valide que si ton masque de sous-réseau est /24 (donc 255.255.255.0) : je suis prêt à parier que le masque de sous-réseau du côté de ton adresse publique est inférieur à "/24".
que je m'attaque à la config de samba pour qu'il n'écoute plus sur l'interface public, mais écoutera t-il encore sur le tunnel openVPN ??
Oui car OpenVPN a une plage d'adresses différentes, avec une interface réseau virtuelle différente (tun0 probablement). C'est bel et bien géré de manière totalement indépendante par le noyau Linux.
Je me rappelle plus qui disait que c'est plus simple avec un autre logiciel de configurer netfilter, moi je pars du principe que pour bien apprendre, on prend les trucs le plus dur, on comprend bien le mécanisme et après, on peut passer à des trucs plus simple
C'est moi. Par contre je ne suis que partiellement d'accord avec ce que tu viens d'écrire.
Bien sûr, il faut connaître comment ça s'architecture "en-dessous". De ce que j'ai vu dans cette discussion, tu connais iptables, tu sais ce que sont les chaînes, les règles, etc. Mais je ne pense pas qu'il est utile de savoir faire un truc super compliqué avec iptables pour pouvoir utiliser shorewall. Pour ma part, je sais faire des règles de base avec iptables, je connais les concepts de la chose, je sais faire du masquerading, etc. En gros, je sais faire avec iptables ce que tu as toi-même fait. Bon, bien sûr, après 12 ans d'expérience professionnelle tu imagines bien que je sais aller plus loin que ça. Mais j'ai commencé à utiliser Shorewall assez rapidement et je n'ai pas eu besoin de savoir faire des trucs hyper complexes avec iptables avant d'utiliser Shorewall.
Les trucs complexes avec iptables, je les ai appris progressivement, tout en utilisant Shorewall en parallèle.
Alors j'aimerais qu'on en arrive à faire un topique complet sur la sécurité
Houla ! Un topic complet sur la sécurité, je doute que ça soit faisable... sinon ce serait déjà fait 
Comme tu le vois, il y a de très nombreux points de vue, et puis finalement chaque situation est particulière.
pas un truc sur l'art de s'envoyer des nom d'oiseau .....
Ceux qui proféraient des insultes ont été bannis, l'ambiance sur ce fil de discussion me semble déjà plus sereine 
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#102 Le 25/12/2014, à 19:28
- Nathaly01
Re : Configuration d'iptables
Oups !!!
Désolée tiramiseb, j'ai mis très longtemps à faire mon précédent poste et j'avais pas vu que tu avais posté entre temps !! (interrompu par un coup de fil, il me faut quand même pas 3 heures pour taper si peu !!! )
Je pense avoir en partie résolu le problème de samba, je dis en partie seulement parce que je vais essayer de faire bien mieux au niveau des autorisations de partage.
On ne le voit pas dans ton message #61, vu que tu as caché une grosse majorité d'adresses IP. Dans tous les cas, il faut bien sûr que Samba n'écoute pas sur ton adresse IP publique.
Pourtant moi, je l'ai lu et relu 50 fois, je suis la seule fautive !!!
Non, tu ne peux pas mettre ta box "derrière" ta passerelle, malheureusement. Tu n'as toujours pas dit quel est ton FAI (ou alors je ne l'ai pas vu passer), pour faire ce que tu veux de manière générale je ferais un "double routage" :
- box en frontal ;
- derrière la box, uniquement ta passerelle, rien d'autre ;
- "mode DMZ" (*) activé (c'est-à-dire redirection de tous les flux entrants), vers ta passerelle ;
- tous tes ordinateurs derrière la passerelle, qui gère le filtrage en sortie.Du coup ta passerelle n'a pas l'adresse IP publique mais au moins elle reçoit tous les flux entrants et elle protège toujours ton réseau interne.
Ça, c'est vraiment dommage !!!
Parce qu'avec mon FAI, je suis dans la mouise (Kiwi-fibre par E-tera).
Il ne connaisse pas les DMZ ni le mode bridge, en fait, tout ce qu'on configurer, c'est l'adresse réseau interne et la plage DHCP. Et faire un nombre limiter de redirection (10) à ce que j'ai trouvé comme renseignement sur internet ...
Si j'avais su qu'il y est encore des FAI vivant au moyen-age, j'aurais fait des recherches plus approfondi avant de signer !!! Bien fait pour moi, j'en ai pour un an de galère !!!
Houla ! Un topic complet sur la sécurité, je doute que ça soit faisable... sinon ce serait déjà fait wink
Comme tu le vois, il y a de très nombreux points de vue, et puis finalement chaque situation est particulière.
lol, c'est vrai que j'y suis aller un peu fort sur ce coup !!!
Hors ligne
#103 Le 25/12/2014, à 19:36
- Nathaly01
Re : Configuration d'iptables
Suite à quelques changements, un nouveau netstat. Il me parait meilleur qu'hier mais il me reste toujours ce satané NTP !!!
---:~$ sudo netstat -tulnp
[sudo] password for -----:
no talloc stackframe at ../source3/param/loadparm.c:4864, leaking memory
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 963/smbd
tcp 0 0 192.168.xx.xx:139 0.0.0.0:* LISTEN 963/smbd
tcp 0 0 192.168.xx.xx:53 0.0.0.0:* LISTEN 1229/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1229/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1185/sshd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1229/named
tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 963/smbd
tcp 0 0 192.168.xx.xx:445 0.0.0.0:* LISTEN 963/smbd
tcp6 0 0 :::22 :::* LISTEN 1185/sshd
udp 0 0 0.0.0.0:5031 0.0.0.0:* 795/dhclient
udp 0 0 0.0.0.0:9176 0.0.0.0:* 1189/dhcpd
udp 0 0 192.168.xx.xx:53 0.0.0.0:* 1229/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 1229/named
udp 0 0 0.0.0.0:67 0.0.0.0:* 1189/dhcpd
udp 0 0 0.0.0.0:68 0.0.0.0:* 795/dhclient
udp 0 0 xx.x.x.x:123 0.0.0.0:* 1754/ntpd
udp 0 0 77.xxx.xxx.xxx:123 0.0.0.0:* 1754/ntpd
udp 0 0 192.168.xx.xx:123 0.0.0.0:* 1754/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1754/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1754/ntpd
udp 0 0 192.168.xx.255:137 0.0.0.0:* 1140/nmbd
udp 0 0 192.168.xx.xx:137 0.0.0.0:* 1140/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1140/nmbd
udp 0 0 192.168.xx.255:138 0.0.0.0:* 1140/nmbd
udp 0 0 192.168.xx.xx:138 0.0.0.0:* 1140/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1140/nmbd
udp 0 0 0.0.0.0:1194 0.0.0.0:* 1282/openvpn
udp6 0 0 :::60960 :::* 1189/dhcpd
udp6 0 0 fe80::2c0:9fff:fe3d:123 :::* 1754/ntpd
udp6 0 0 fe80::fec8:97ff:feb:123 :::* 1754/ntpd
udp6 0 0 ::1:123 :::* 1754/ntpd
udp6 0 0 :::123 :::* 1754/ntpd
udp6 0 0 :::40125 :::* 795/dhclient Hors ligne
#104 Le 25/12/2014, à 19:55
- Nathaly01
Re : Configuration d'iptables
@Tiramiseb : Pour avoir la télé, j'ai trouvé cette solution mais j'ai pas encore essayé
Avec igmpproxy et un paramétrage adéquate, je pouvais regarder la télé AVEC la box télé fourni par Kiwi.
Mais pour le téléphone, c'est soit prendre une ligne en plus chez OVH et acheter un PAP2T, ou alors rediriger tous mes appels sur mon portable si je ne trouve pas une solution pour pouvoir me servir de ma box.
Pour l'instant, elle sert de "décor" sur une table basse du salon, mais elle va pas tarder à réintégrer son emballage et direction la cave !!!
Hors ligne
#105 Le 25/12/2014, à 20:04
- tiramiseb
Re : Configuration d'iptables
Désolée tiramiseb, j'ai mis très longtemps à faire mon précédent poste et j'avais pas vu que tu avais posté entre temps !!
Bah, y'a pas de mal, ça m'arrive aussi
Si j'avais su qu'il y est encore des FAI vivant au moyen-age, j'aurais fait des recherches plus approfondi avant de signer
Je suis aussi étonné que toi ! Un opérateur fibre qui ne permet pas d'avoir un vrai usage d'Internet, c'est vraiment n'imp.
À la limite un truc par satellite ou RTC, quelque chose de limité techniquement, j'aurais compris... mais avec de la fibre, c'est vraiment nul !
En plus tu es engagée 1 an, je croyais que ça ne se faisait plus...
-----
Concernant ton nouveau netstat, je vois également le serveur DHCP qui écoute sur 0.0.0.0 : il faut aussi le configurer lui pour qu'il n'écoute qu'en local.
Pour NTP, franchement, ne te fais pas chier, passe à OpenNTPd...
Il y a aussi NMBd qui écoute sur le port UDP 137 et 138, sur 0.0.0.0, ça ne devrait pas être là...
------
Pour la télé je ne sais pas.
Pour la ligne OVH, j'avais ça à titre pro avant de passer sur un portable, j'avais pris un des équipements en location ; et ils ont, entre autres, un SPA112 (apparemment le successeur du PAP2T).
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#106 Le 25/12/2014, à 20:07
- tiramiseb
Re : Configuration d'iptables
Pour Samba, il semble que les directives de configuration nécessaires sont les suivantes :
[global]
interfaces = eth0 lo
bind interfaces only = yesPour DHCPd, il y a a priori une variable "INTERFACES" dans /etc/default/dhcp3-server (info non vérifiée, à toi de voir si c'est vrai) ; si c'est bien le cas, alors la ligne devrait être :
INTERFACES="eth0"Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#107 Le 25/12/2014, à 20:42
- Nathaly01
Re : Configuration d'iptables
Pour Samba, c'est à peu près ce que j'ai
#### Networking ####
# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
interfaces = 127.0.0.0/8 eth0: 192.168.68.60/24
# Only bind to the named interfaces and/or networks; you must use the
# 'interfaces' option above to use this.
# It is recommended that you enable this feature if your Samba machine is
# not protected by a firewall or is a firewall itself. However, this
# option cannot handle dynamic or non-broadcast interfaces correctly.
bind interfaces only = yesPour le DHCP, je trouve cette ligne dans /etc/default/isc-dhcp-server
Comme il n'y avait que
INTERFACES=""j'ai rajouté eth0 mais cela n'a pas l'air de faire grand chose après avoir fait un
sudo service isc-dhcp-server restartJe vais lui faire faire un reboot pour voir ...
Hors ligne
#108 Le 25/12/2014, à 20:50
- tiramiseb
Re : Configuration d'iptables
Pour Samba, c'est à peu près ce que j'ai
#### Networking #### # The specific set of interfaces / networks to bind to # This can be either the interface name or an IP address/netmask; # interface names are normally preferred interfaces = 127.0.0.0/8 eth0: 192.168.68.60/24 # Only bind to the named interfaces and/or networks; you must use the # 'interfaces' option above to use this. # It is recommended that you enable this feature if your Samba machine is # not protected by a firewall or is a firewall itself. However, this # option cannot handle dynamic or non-broadcast interfaces correctly. bind interfaces only = yes
Pour la ligne "interfaces", le double-point après "eth0" me semble étrange, peut-être que du coup il ne prend pas cette ligne en compte, la meilleure façon de le savoir serait de regarder les logs.
Cela dit, essaie d'abord de mettre "interfaces = lo eth0"...
Pour le DHCP, je trouve cette ligne dans /etc/default/isc-dhcp-server
Comme il n'y avait queINTERFACES=""j'ai rajouté eth0 mais cela n'a pas l'air de faire grand chose après avoir fait un
sudo service isc-dhcp-server restartJe vais lui faire faire un reboot pour voir ...
Oui, ça devrait donc être :
INTERFACES="eth0"... l'as-tu bien fait de cette manière-là ?
Un redémarrage ne devrait pas être nécessaire.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#109 Le 25/12/2014, à 20:57
- Nathaly01
Re : Configuration d'iptables
Après reboot :
~$ sudo netstat -tulnp|grep dhcpd
udp 0 0 0.0.0.0:67 0.0.0.0:* 1237/dhcpd
udp 0 0 0.0.0.0:29404 0.0.0.0:* 1237/dhcpd
udp6 0 0 :::39375 :::* 1237/dhcpd lol, j'ai fait dans le court, mais c'est clair que rien n'a changé
Hors ligne
#110 Le 25/12/2014, à 21:07
- Nathaly01
Re : Configuration d'iptables
Et pour nmbd
:~$ sudo netstat -tulnp|grep nmbd
udp 0 0 192.168.xx.255:137 0.0.0.0:* 1139/nmbd
udp 0 0 192.168.xx.xx:137 0.0.0.0:* 1139/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1139/nmbd
udp 0 0 192.168.xx.255:138 0.0.0.0:* 1139/nmbd
udp 0 0 192.168.xx.xx:138 0.0.0.0:* 1139/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1139/nmbd après avoir mis ce que tu m'a dit !!
Hors ligne
#111 Le 25/12/2014, à 21:30
- Nathaly01
Re : Configuration d'iptables
Sur la page de la doc samba, j'ai trouvé ça :
interfaces = 127.0.0.1 eth0:0 192.168.1.20/24mais le :0 après eth0 me semble bizarre ... Réalité à mettre ou faute de frappe du webmaster ??
Mais j'ai testé, cela ne change rien ...
Dernière modification par Nathaly01 (Le 25/12/2014, à 21:39)
Hors ligne
#112 Le 25/12/2014, à 22:19
- tiramiseb
Re : Configuration d'iptables
mais le :0 après eth0 me semble bizarre ... Réalité à mettre ou faute de frappe du webmaster ??
c'est un exemple. eth0:0 c'est un nom pour une adresse IP secondaire sur eth0.
Donc, ni pour Samba ni pour DHCPd ce que j'ai proposé n'a fonctionné ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#113 Le 25/12/2014, à 22:25
- Compte supprimé
Re : Configuration d'iptables
Pour ton histoire d'écoute de samba sur la boucle locale seulement, je testerais avec ça:
interfaces = 192.168.1.1/255.255.255.0Puis:
sudo service samba restart
#114 Le 25/12/2014, à 22:26
- tiramiseb
Re : Configuration d'iptables
ignus: si toutefois l'adresse IP locale est 192.168.1.1... car Nathaly01 a caché les réelles adresses jusqu'ici...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#115 Le 25/12/2014, à 22:37
- Compte supprimé
Re : Configuration d'iptables
Ah oui, c'est pas faux. Alors, pourquoi ne pas créer une sous interface (eth0:1) en plus de eth0, ce qui obligerait samba à n'écouter que sur cette interface. Ip restriction est pratique pour cela aussi
#### Networking ####
# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
interfaces = eth0:1
# Only bind to the named interfaces and/or networks; you must use the
# 'interfaces' option above to use this.
# It is recommended that you enable this feature if your Samba machine is
# not protected by a firewall or is a firewall itself. However, this
# option cannot handle dynamic or non-broadcast interfaces correctly.
bind interfaces only = true
# IP restriction
hosts allow = 172.16.32.1 172.16.32.2 172.16.32.3
hosts deny = 192.168.0.0#116 Le 25/12/2014, à 22:39
- Nathaly01
Re : Configuration d'iptables
Je viens en effet de tester comme le montre Ignus mais avec l'IP de la carte réseau forcement, mais cela reste idem avec
interfaces = 192.168.1.1/255.255.255.0:~$ sudo netstat -tulnp|grep nmbd
[sudo] password for -----:
no talloc stackframe at ../source3/param/loadparm.c:4864, leaking memory
udp 0 0 192.168.xx.255:137 0.0.0.0:* 1092/nmbd
udp 0 0 192.168.xx.xx:137 0.0.0.0:* 1092/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1092/nmbd
udp 0 0 192.168.xx.255:138 0.0.0.0:* 1092/nmbd
udp 0 0 192.168.xx.xx:138 0.0.0.0:* 1092/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1092/nmbd Dernière modification par Nathaly01 (Le 25/12/2014, à 22:41)
Hors ligne
#117 Le 25/12/2014, à 22:43
- Nathaly01
Re : Configuration d'iptables
Ah oui, c'est pas faux. Alors, pourquoi ne pas créer une sous interface (eth0:1) en plus de eth0, ce qui obligerait samba à n'écouter que sur cette interface. Ip restriction est pratique pour cela aussi
#### Networking #### # The specific set of interfaces / networks to bind to # This can be either the interface name or an IP address/netmask; # interface names are normally preferred interfaces = eth0:1 # Only bind to the named interfaces and/or networks; you must use the # 'interfaces' option above to use this. # It is recommended that you enable this feature if your Samba machine is # not protected by a firewall or is a firewall itself. However, this # option cannot handle dynamic or non-broadcast interfaces correctly. bind interfaces only = true # IP restriction hosts allow = 172.16.32.1 172.16.32.2 172.16.32.3 hosts deny = 192.168.0.0
Je vais avouer que là, je comprend pas tout !!!
Ça correspond a quoi ce qu'il y a dans IP restriction ?
Hors ligne
#118 Le 25/12/2014, à 22:51
- Nathaly01
Re : Configuration d'iptables
Juste par hasard, comme samba utilise bind si je comprend bien, je me souviens qu'il y a un fichier ( /etc/bind/named.conf.default-zones)
// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};Le truc ne viendrait il pas de là ??
La table est vide ...
Dernière modification par Nathaly01 (Le 25/12/2014, à 22:57)
Hors ligne
#119 Le 25/12/2014, à 23:08
- Compte supprimé
Re : Configuration d'iptables
Je viens d'installer Samba pour tester (je suis avec NFS) le truc car il y a bien longtemps que je n'en suis pas servi. Bref, après vérification, je crois bien que Samba écoute sur une interface par défaut, donc, tu peux lui préciser l'interface qu'il doit écouter si tu veux. Donc deux cartes réseaux me semblent indispensables pour ne pas mettre tous ses oeufs dans le même panier. D'un côté, disons, par exemple, eth0 pour Internet et eth1 est pour ton réseau privé Samba. Je ne vois pas d'autre solution pour le moment.
#120 Le 25/12/2014, à 23:10
- tiramiseb
Re : Configuration d'iptables
Euh non Nathaly01, tu t'emmêles les pinceaux, ne t'embrouille pas avec ça !
Le chemin qu'évoque Ignus, je ne le comprends pas non plus : pourquoi complexifier le truc en ajoutant une interface virtuelle !?
Nathaly01, as-tu regardé dans les logs de samba s'il n'y a pas une erreur liée à cette directive, avant de chercher dans n'importe quel sens ?
Je tiens à préciser que la syntaxe que j'ai évoquée :
interfaces = eth0 lo... est tirée de la doc officielle de Samba : https://www.samba.org/~tpot/articles/mu … faces.html.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#121 Le 25/12/2014, à 23:10
- tiramiseb
Re : Configuration d'iptables
ignus: Nathaly01 a DÉJÀ deux interfaces réseau. Relis la conversation.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#122 Le 25/12/2014, à 23:21
- Nathaly01
Re : Configuration d'iptables
Oui, pour Ignus :
eth0 : réseau interne
eth1 : réseau public (internet)
Hors ligne
#123 Le 25/12/2014, à 23:28
- Compte supprimé
Re : Configuration d'iptables
Oui, excusez moi, Noel est passé par là, je vais donc relire la conversation et je reviendrai demain matin D'ailleurs, vous êtes donc bien en forme, pour moi, les excès entament ma capacité de réflexion 
Donc essayes avec ceci des fois que (avec les guillemets) :
bind interfaces only = yes
interfaces = "eth0:0"ÉDIT:
Bah, en tout cas, ça marche chez moi. J'écoute juste sur eth0 sans lo (boucle local). Bon là, eth0 est ma carte Internet... Mais la consigne semble prise en compte puisque je n'ai plus d'accès local de nmbd. Dans ton cas, puisque eth0 est ton réseau privé, ça devrait le faire :
root@debianwheezy:/home/ignus# netstat -tulnp|grep nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 9288/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 9288/nmbd Bonne nuit ^^
Dernière modification par ignus (Le 25/12/2014, à 23:38)
#124 Le 25/12/2014, à 23:28
- tiramiseb
Re : Configuration d'iptables
J'ai installé Samba sur une machine virtuelle pour essayer.
J'ai aussi relu la page de doc pour laquelle je viens de donner le lien.
Celle-ci indique clairement que smbd n'écoute que sur les interfaces précisées et que nmbd écoute partout mais refuse les requêtes sur les interfaces "non définies".
Donc on ne peut pas faire ce que j'ai évoqué. C'est nul. Samba est tout pourri 
Donc pare-feu obligatoire pour bien sécuriser nmbd dans ton cas.
-----
Concernant DHCPd, il faudrait approfondir par rapport à cette variable "INTERFACES" dans /etc/defaults... Là je fatigue, je vais me coucher, je ne testerai pas (enfin, pas ce soir en tout cas).
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#125 Le 25/12/2014, à 23:30
- tiramiseb
Re : Configuration d'iptables
Donc essayes avec ceci des fois que (avec les guillemets) :
interfaces = "eth0:0"
Euh non, double erreur :
- elle n'a pas d'interface eth0:0, seulement eth0 ;
- les guillemets ne sont pas nécessaires.
En #103 on voit bien que smbd n'écoute qu'en localhost et sur le réseau local. Et nmbd a probablement le comportement prévu et décrit dans la doc, que j'ai évoqué ci-dessus. Samba me déçoit, sur ce coup.
===> on ne peut pas empêcher nmbd d'écouter sur l'interface publique, le blocage par pare-feu se justifie alors pleinement.
Dernière modification par tiramiseb (Le 25/12/2014, à 23:31)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne