Разрешить Samba-соединения * только * из внутренней локальной сети (PF firewall)?

796
gsl

Существует машина FreeBSD 11.1-RELEASE с 1 сетевой картой, обслуживающая общие ресурсы Samba за брандмауэром PF на том же сервере.

Мне нужно разрешить подключения только от клиентов, подключающихся из внутренней сети (/ 24).

В настоящее время это может работать:

# Default deny policy block in log all  # allow Samba connections only from internal IPs pass in quick on $ext_if inet proto tcp from $ext_if:network to $ext_if:network port  pass in quick on $ext_if inet proto udp from $ext_if:network to $ext_if:network port

Правда ли, что это правильно и достаточно?

Есть ли лучший, более идиоматический способ разрешать подключения Samba только из внутренней локальной сети, используя межсетевой экран PF?

0
Вы используете vlans с pfsense? Поскольку это будет самый простой способ контролировать внутренний трафик между двумя управляемыми вами ланами. Два отдельных интерфейса будут делать то же самое. Tim_Stewart 6 лет назад 1
Нет, сервер работает на стандартной FreeBSD 11.1-RELEASE без vlan, скомпилированного в ядре. Кроме того, он имеет только один интерфейс. gsl 6 лет назад 0
Я в замешательстве, как ты делаешь что-нибудь без двух интерфейсов? Поведение Ethernet по умолчанию разрешит любое соединение через коммутатор локальной сети. Т.е., если общий ресурс samba находится в том же локальном сегменте, как вы ожидаете, что pfsense заблокирует трафик, который он не контролирует? Tim_Stewart 6 лет назад 0
Я попытался прояснить вопрос: PF - это пакетный фильтр OpenBSD (а не pfsense, на котором он основан), и брандмауэр находится на той же машине, что и общие папки samba. gsl 6 лет назад 0

1 ответ на вопрос

1
Tim_Stewart

добавьте другой интерфейс к вашей установке pf-sense. или если доступен коммутатор с поддержкой VLAN, он предоставит вам дополнительные виртуальные интерфейсы в смысле pf.

вы бы поместили свой общий ресурс samba во второй интерфейс, чтобы дать ему новую подсеть (что-то вроде 10.10.10.0 / 24), все будет работать, вам просто нужно, чтобы это была другая подсеть от пользователей локальной сети, которыми вы хотите управлять.

Теперь настройте правила доступа пользователей ко второй подсети ЛВС. или, в частности, какие пользователи имеют доступ к вашему общему ресурсу самбы по ip.

РЕДАКТИРОВАТЬ: в PF (Фильтрация), чтобы сделать это: после правила блокировки по умолчанию>

Теперь трафик должен быть явно пропущен через брандмауэр, иначе он будет отброшен политикой запрета по умолчанию. Это где критерии пакета, такие как порт источника / назначения, адрес источника / назначения и протокол вступают в игру. Всякий раз, когда трафику разрешено проходить через брандмауэр, правило (правила) должно быть написано как можно более ограничительным. Это необходимо для того, чтобы разрешить пропуск предполагаемого трафика и только предполагаемого трафика.

«# Передача трафика на dc0 из локальной сети, 192.168.0.0/24, в OpenBSD»

"# IP-адрес машины 192.168.0.1. Также передавайте обратный трафик на dc0."

перейти на dc0 с 192.168.0.0/24 до 192.168.0.1

вырубить на dc0 с 192.168.0.1 по 192.168.0.0/24

«#Pass TCP-трафик на веб-сервер, работающий на машине OpenBSD».

передать исходящий протокол TCP от любого к выходному порту www

используйте имя вашего интерфейса, добавьте свои подсети, и вы должны быть в порядке, используйте правила ip. это сделает это намного проще.

Я вижу только два правила прохода в вашем посте, я полагаю, что вам понадобится вход / выход с tcp и udp.

Спасибо. Я добавил детали к вопросу, сервер имеет только 1 NIC, также PF (не pfsense) работает с того же сервера, что и общие ресурсы samba. Есть ли способ получить такую ​​же защиту без добавления второго сетевого адаптера? gsl 6 лет назад 0
я обновил ваш ответ, я оставил ответ PFsense, потому что это общий вопрос для PF в целом. дайте мне знать, если это работает для вас. Tim_Stewart 6 лет назад 0
Круто, рад, что смог помочь Tim_Stewart 6 лет назад 0

Похожие вопросы