centos 6システムにSAMBA共有があります。
質問:インターネット経由でSAMBA 3共有をインストールできますか? (VPN/SSHトンネルがないので簡単です!)
答え1
これはプロトコルと実装のいくつかの側面によって異なります。ネットワーク BIOS/ネットワーク BEUIまったくルーティングできず、ブロードキャストを送信できます。これらの制限により、SMB ファミリのワークグループ、ドメインのサブスクリプション、検索、ホスト名の更新、およびその他の機能がネットワークに制限されます。ローカルネットワーク環境では機能しますが、TCP / IPでは機能しません。ただし、この問題を克服するために、ルーティングが必要な大規模ネットワークでホスト名の更新などのタスクを実行できるように、TCP / IPを介したNetBIOS(NBT)とWINSサーバーが実装されています。
中小企業これは、下位レイヤプロトコル(ネットワーク、トランスポート、セッション)サービスを使用する上位レイヤプロトコル(プレゼンテーションおよびアプリケーション)にすぎません。ネットワーク全体で動作できますが、使用しているSMBの実装/バージョンとオペレーティングシステムによっては多くが異なります。
いいね:
- (理論的に)動作する必要があります。この共有が公開されたIPアドレスにアクセスするだけです。ポートリダイレクトインターネットに「直接接続」している場合は、モデムまたはファイアウォールが必要な場合があります。
ダメージ:
- SMBはまったく安全ではありません。 VPN(IPSec、OpenVPN、PPTP...)この設定の主な目的は暗号化とセキュリティの質問ルーティングプロトコルではなく、SMBプロトコルです。編集する:たぶん別のセキュリティ層を追加することもできます。サーバー署名Samba 3.3.x+を使用
醜い:
- ISPはこのタイプのトラフィックをブロックできます(
445/tcp)。 - SMBにはいかなる種類のチェックサム/検証もありません。パフォーマンスの問題待ち時間の長いネットワークで。
TL、博士。WebDAV、sftp、scp、ftpなどの他のプロトコルを使用することをお勧めします。
答え2
はい、ファイアウォールで4つのポート(137、138、139、445)を有効にして、インターネットを介してSamba共有に正常にアクセスしました。
明らかにこれはテストシステムです。自宅でこれをしないでください。サンバはそうしなければならないいいえパブリックインターネットからアクセスできます。
代わりに(提案どおり)SSHを使用できます。 FTPも基本的に暗号化されていないのであまり良くありません。
答え3
ファイアウォールで正しいポートが開いたら、cifs / smb共有をマウントしてインターネット経由でアクセスできます。たとえば、\live.sysinternals.com\Toolsで開いているsmb共有を見てみましょう。
多くのマルウェアや情報セキュリティツールがsmbを攻撃ベクトルとして使用できるため、信頼できないネットワーク上でSambaを開かないでください。したがって、chroot Jails、fall2ban、および pubkey 専用認証で sftp を使用する必要があります。
正直なところ、Sambaを使用する代わりに、iscsi lunまたはnfsv4とipsecを使用してセキュアVPNを介してリモートストレージにアクセスすることを強くお勧めします。