个人工具

“Quick HOWTO : Ch12 : Samba Security and Troubleshooting/zh”的版本间的差异

来自Ubuntu中文

跳转至: 导航, 搜索
Linux iptables(ip表)
 
(未显示1个用户的2个中间版本)
第26行: 第26行:
 
<pre>[root@bigboy tmp]# testparm -s filename
 
<pre>[root@bigboy tmp]# testparm -s filename
 
</pre>
 
</pre>
== Samba 和防火墙软件<br> ==
+
== Samba 和防火墙软件<br> ==
  
你的安了Windos系统的个人电脑和Samba 服务器上的防火墙软件都会是Samba失效.以下为这两种比较流行的防火墙数据包iptables 和ZoneAlarm提供解决这个问题的方案.<br>
+
你的安了Windows系统的个人电脑和Samba 服务器上的防火墙软件都会是Samba失效.以下为这两种比较流行的防火墙数据包iptables 和ZoneAlarm提供解决这个问题的方案.<br>  
  
=== Linux iptables(ip表)<br> ===
+
=== Linux iptables(ip表)<br> ===
  
Fedora在安装过程中默认配置了ip表防火墙数据包.你有两个选择.你要在保证网络安全的前提下选择它被禁用,或者,你作如下配置:允许微软的NetBIOS协议(UDP 端口137 和138 TCP端口 139)还有不使用NetBIOS协议时通过TCP 445端口实现SMB文件共享.以下是一段脚本的摘要:<br>
+
Fedora在安装过程中默认配置了ip表防火墙数据包.你有两个选择.你要在保证网络安全的前提下选择它被禁用,或者,你作如下配置:允许微软的NetBIOS协议(UDP 端口137 和138 TCP端口 139)还有不使用NetBIOS协议时通过TCP 445端口实现SMB文件共享.以下是一段脚本的摘要:<br>  
 
<pre>#!/bin/bash
 
<pre>#!/bin/bash
 
   
 
   
第52行: 第52行:
 
     --dports 139,445 -j DROP
 
     --dports 139,445 -j DROP
 
iptables -A OUTPUT -s $SAMBA_SERVER -d $NETWORK -m state --state \
 
iptables -A OUTPUT -s $SAMBA_SERVER -d $NETWORK -m state --state \
     ESTABLISHED,RELATED -j ACCEPT</pre>
+
     ESTABLISHED,RELATED -j ACCEPT</pre>  
For more information, please refer to Chapter 14, "Linux Firewalls Using iptables".<br>Windows-based Zone Alarm
+
要了解更多的信息,请参考14章,"[[Quick HOWTO : Ch14 : Linux Firewalls Using iptables|使用iptable的防火墙]]"<br>  
  
The default installation of Zone Alarm assumes that your PC is directly connected to the Internet. This means that the software will deny all inbound connections that attempt to connect with your PC. The NetBIOS traffic that Samba uses to communicate with the PCs on the network therefore is considered as hostile traffic.
+
基于Windows 的ZoneAlarm<br>默认安装情况下时ZoneAlarm假定你的电脑直接连接到互联网.这意味着这个软件会将所以尝试连接你的PC的内网连接拒绝.而Samba使用的通讯线路正是NetBIOS所使用的,因此会有冲突.<br>
  
The easiest way around this is to configure Zone Alarm to consider your home network as a trusted network too. To do so click on the firewall tab and edit the settings for your home network; it will most likely have a 192.168.x.x/255.255.255.0 type entry. Make this network a trusted network, instead of an Internet network, and ZoneAlarm should cease to interfere with Samba.<br>The Windows XP Built In Firewall
+
最简单的解决方法是把ZoneAlarm配置一下,让它认为你的内网是也一个可靠的网络.要在防火墙中对你的内网的设置作些改动;通常可以这样修改IP192.168.x.x/255.255.255.0 .将这个网络设置为可信网络,而不是一个外网,这样ZoneAlarm就不会干扰Samba的工作了.<br>  
  
You may also need to disable the firewall feature of Windows XP. Follow these steps:
+
Windows XP 自带的防火墙<br>你需要将一些防火墙的功能禁用.按照以下的步骤:<br>
  
1. Bring up the Control Panel<br> 2. Double-click on the Network Connections icon.<br> 3. Right-click your on your LAN connection icon and select Properties<br> 4. Click on the Advanced tab and then on the Windows Firewall Settings button.<br> 5. Turn off the Internet Connection Firewall by clearing its check box. You may also leave the firewall on, but allow Windows file sharing traffic through this connection. This can be done by clicking on the Exceptions tab of the Windows Firewall dialog box and clicking on the File and Printer Sharing check box.
+
1.打开控制面板.<br>  
  
After you get SAMBA to work, you may want to experiment with the firewall software settings to optimize your security, keeping in mind the need to maintain a valid relationship with the Samba server. <br>
+
2.双击网络连接.  
  
<br>
+
3.右键点击你的LAN连接(局域网)图表,然后选择属性.
 +
 
 +
4.点击高级标签然后点击Windows防火墙设置按钮.
 +
 
 +
5.点击checkbox 关闭互联网连接防火墙.你也许还开着防火墙,但是允许windows文件共享.这个功能可以通过点击windows防火墙的其他标签,然后选择共享打印机和文件选项.
 +
 
 +
当你把Samba配置好后,你也许想要同时打开防火墙来优化你的安全,时刻记得怎样合理的将它配置好,让Samba服务器能够正常的工作.
 +
[[Category:Quick_HOWTO]]

2010年7月18日 (日) 15:42的最新版本

介绍

为你的办公室或家里配置Samba 协议会带来很多的好处.通过鼓励用户把文件存储在一个文件服务器上,在某些情况下会 使你的数据备份,软件安装和维护工作变得轻松起来.

令人遗憾的是,Samba的初始配置有些棘手.要按照正确的顺序执行许多短小的操作,如果有一个地方出了错,都会带来严重的错误.本章讲的是帮助你从那些你不能避免的错误中恢复.


测试 smb.conf文件

Samba 有一个叫testparm的测试工具,它会对smb.conf文件中的错误进行警告.如果你用SWAT去编辑这个文件,通常你会成功通过测试,

如下所示:

[root@bigboy tmp]# testparm -s
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
...
...
[root@bigboy tmp]#

测试成功只是意味着Samba会加载这个配置文件.Samba还有可能在别的地方出问题.

注意: 你也可以用testparm命令来测试别的文件(默认是default /etc/samba/smb.conf).只要简单的把文件名作为第一个参数,格式如下:

[root@bigboy tmp]# testparm -s filename

Samba 和防火墙软件

你的安了Windows系统的个人电脑和Samba 服务器上的防火墙软件都会是Samba失效.以下为这两种比较流行的防火墙数据包iptables 和ZoneAlarm提供解决这个问题的方案.

Linux iptables(ip表)

Fedora在安装过程中默认配置了ip表防火墙数据包.你有两个选择.你要在保证网络安全的前提下选择它被禁用,或者,你作如下配置:允许微软的NetBIOS协议(UDP 端口137 和138 TCP端口 139)还有不使用NetBIOS协议时通过TCP 445端口实现SMB文件共享.以下是一段脚本的摘要:

#!/bin/bash
 
SAMBA_SERVER="192.168.1.100 "
NETWORK="192.168.1.0/24"    # Local area network
BROADCAST="192.168.255.255" # Local area network Broadcast Address
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p udp -s $NETWORK -d $SAMBA_SERVER \
    -m multiport --dports 137,138 -j ACCEPT
iptables -A INPUT -p tcp -s $NETWORK -d $SAMBA_SERVER -m multiport \
    --dports 139,445 -j ACCEPT
iptables -A INPUT -p udp -s $NETWORK -d $BROADCAST --dport 137 \
    -j ACCEPT
iptables -A INPUT -p udp -d $SAMBA_SERVER -m multiport \
    --dports 137,138 -j DROP
iptables -A INPUT -p tcp -d $SAMBA_SERVER -m multiport \
    --dports 139,445 -j DROP
iptables -A OUTPUT -s $SAMBA_SERVER -d $NETWORK -m state --state \
    ESTABLISHED,RELATED -j ACCEPT

要了解更多的信息,请参考14章,"使用iptable的防火墙"

基于Windows 的ZoneAlarm
默认安装情况下时ZoneAlarm假定你的电脑直接连接到互联网.这意味着这个软件会将所以尝试连接你的PC的内网连接拒绝.而Samba使用的通讯线路正是NetBIOS所使用的,因此会有冲突.

最简单的解决方法是把ZoneAlarm配置一下,让它认为你的内网是也一个可靠的网络.要在防火墙中对你的内网的设置作些改动;通常可以这样修改IP192.168.x.x/255.255.255.0 .将这个网络设置为可信网络,而不是一个外网,这样ZoneAlarm就不会干扰Samba的工作了.

Windows XP 自带的防火墙
你需要将一些防火墙的功能禁用.按照以下的步骤:

1.打开控制面板.

2.双击网络连接.

3.右键点击你的LAN连接(局域网)图表,然后选择属性.

4.点击高级标签然后点击Windows防火墙设置按钮.

5.点击checkbox 关闭互联网连接防火墙.你也许还开着防火墙,但是允许windows文件共享.这个功能可以通过点击windows防火墙的其他标签,然后选择共享打印机和文件选项.

当你把Samba配置好后,你也许想要同时打开防火墙来优化你的安全,时刻记得怎样合理的将它配置好,让Samba服务器能够正常的工作.

取自“https://wiki.ubuntu.org.cn/index.php?title=Quick_HOWTO_:_Ch12_:_Samba_Security_and_Troubleshooting/zh&oldid=140657