Az este vettem észre, hogy pár napja az egyik irodai gépünk sambája különböző, nagyon sok internetes IP címet logolt, többek között magyar szolgáltatóktól, de volt koreai, tajvani cím is.
Ez a gép rendelkezik saját tűzfal scripttel, illetve egy router mögött van, amin szintén van tűzfal. Természetesen portforwarding nincs a routeren, igaz, a gép saját tűzfalán a samba port nyitva van.
Nem tudom merre induljak el, nem értem, hogy nem belső hálózatos cím hogy juthat el a sambáig?
Jelen pillanatban (illetve jó ideje) figyelem tcpdumppal a forgalmat, de persze most nem akar próbálkozni senki, pedig az elmúlt pár napban igen nagy aktivítás volt, sőt ma este 10-ig is 10-30 percenként voltak próbálkozások.
Egy ilyet sikerült elkapnom az ímént:
23:34:31.251686 IP (tos 0x0, ttl 121, id 27694, offset 0, flags [DF], proto TCP (6), length 48) 178-164-225-29.pool.digikabel.hu.3199 > x.y.loc.microsoft-ds: S, cksum 0x32f0 (correct), 208640561:208640561(0) win 64240
23:34:31.251791 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48) x.y.loc.microsoft-ds > 178-164-225-29.pool.digikabel.hu.3199: S, cksum 0x929d (correct), 1213217790:1213217790(0) ack 208640562 win 5840
Persze az a gáz, hogy itt pont az látszik világosan, ami a samba logban, hogy erről az ip-ről csatlakozás van a samba irányába, ami létre is jön, ez a samba logjában is megjelent.
A gépen fut virtualboxban egy XP, ami "kilát" a netre.
Kezdek arra gondolni, hogy esetleg a router van felnyomva, és/vagy kinyítva, csak én nem látom rajta... Egyelőre.
Köszönöm, ha tudtok irányt mutatni. Persze lehetséges, hogy még kevés, amit leírtam.
- 1286 megtekintés
Hozzászólások
Úgy tűnik a router tűzfala teljesen átereszt mindent, pedig be van kapcsolva, a portok zárva vannak. Mégis simán elérem a mögötte lévő gép 80-as, 53-as, samba portját. Ezért hát a nagy forgalom a gépen.
Legalább egy tanulság: legyen normális tűzfalad, és ne bízz olcsó routerben (ez korábban is szembe juthatott volna). Plusz kell egy igényesebb hálózati struktúra.
Kiváncsi lennék arra is, hogy a router magától lett hülye, vagy segítettek neki...
- A hozzászóláshoz be kell jelentkezni
Egy ilyen tűzfal mögé csak úgy nem látnak be. Ha natol (és 99.999% hogy natol :D), akkor ahhoz külön szabályok kellenek rá. Nem lehet, hogy az UPnP miatt kerületek rá ezek a szabályok? Kapcsold ki az UPnP-t és nézd meg, hogy akkor is "okos" lesz-e.
- A hozzászóláshoz be kell jelentkezni
Köszi a tippet, megnézem.
- A hozzászóláshoz be kell jelentkezni
Udv!
Javasolnam a samba configban a binding to interface-t es a tobbi korlatozas hasznalatat, ami ugyan felmegoldas a problemadra, de kezdesnek nem rosz. A tuzfal beallitas viszont a fo dolgod.
- A hozzászóláshoz be kell jelentkezni
"samba configban a binding to interface-t"
Nem interface, hiszen a samba az egyik kliens gépen van, tűzfal mögött.
"hosts allow"-val kell engedélyezni a belső tartományt, és persze, a tűzfal vizsgálata.
- A hozzászóláshoz be kell jelentkezni
A tűzfalat gyorsteszttel innen is letesztelheted:
http://wigwam.sztaki.hu/varazslatok/port_teszt.shtml
Azonkívül a samba config állományban használni kéne a TCP Wrappert:
hosts allow = subnet1 ip1 ip2
pl: hosts allow= 10.1.1. x.y.z.w x.y.z.w2
Első körben persze a tűzfalat kellene rendesen becsukni.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Szerencsére már rég be van szűkítve néhány ip-re a samba elérése, így minden idegen ip címnél a logban denied van. Nagy mák, de azért tudatos volt. :)
A tűzfalat viszont úgy tűnik át kell terveznem. A router-é meg mintha nem is lenne. Ma tovább nyomozok, addig is elszigeteltem már, amit kell.
- A hozzászóláshoz be kell jelentkezni
esetleg nem dmz-be raktad a samba gépet a routeren?
- A hozzászóláshoz be kell jelentkezni
nem, biztos nem
Iszonyat nagy broki vagyok! DE, sikerült DMZ-be rakni valahogy. Atombiztos voltam benne, hogy nem, de aztán most láttam, hogy mégis... Valamivel próbálkozhattam, aztán félbe maradt.
Köszi a tippet, köszi mindenkinek!
- A hozzászóláshoz be kell jelentkezni