Vill du vara del av diskussionerna i forumet, ställa frågor eller hjälpa andra? Registrera dig här!

Hur låter jag endast enheter på lokala nätverket komma åt en mapp genom brandväggen?

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Okt 2007

Hur låter jag endast enheter på lokala nätverket komma åt en mapp genom brandväggen?

Jag har i ubuntu 18.10 skapat en mapp som jag delar ut med samba. När jag slår på Ubuntus brandvägg ufw så kan exempelvis inte min android telefon se filerna i mappen men det går fint när jag stänger av brandväggen. Hur skapar jag en regel att endast enheter på det lokala nätverket och inte internet kan komma åt mappen? Hur säkerställer jag enklast att mappen inte är åtkomlig utanför mitt eget nätverk? I sambas konfigurationsfil skrev jag följande:

hosts allow = 127.0.0.1 192.168.1.0/24 localhost
hosts deny = 0.0.0.0/0

Är det tillräckligt för att skydda den? Bör jag blockera åtkomst till sambas port i min router också?

Trädvy Permalänk
Medlem
Registrerad
Jun 2019

@Tallrot:
Tre grundregler:
1) En perimeterbrandvägg ska alltid vara default-deny: Principen är att du ska öppna "nålhål" i en stängd brandvägg för enbart de tjänster du vill ska kunna nås utifrån Internet.
2) Du vill överallt där så är möjligt ha flera lager av säkerhet så du kan göra ett misstag utan att det biter dig i rumpan.
3) Det finns inga som helst tillfällen då det är en bra ide att publicera SMB ut mot Internet.

Så:
Sambakonfigurationen är ett första steg, men vad händer om någon lyckas spoofa att de har en adress i 192.168.1.0/24? Samba kommer glatt att låta dem ansluta.
Nästa steg är din servers brandvägg: om du nu använder ufw eller något annat, vill du ha ytterligare ett lager av "förbjud trafik från annat än mitt lokala nätverk till den här tjänsten". (Om du inte har någon brandvägg påslagen än i din server, se till att du också sätter upp regler för eventuella andra tjänster du behöver kunna nå, exempelvis ssh.) På det här sättet kan du ha en bugg i Sambas säkerhetssystem och ändå begränsa trafiken in i någon grad.
Steg tre är din perimeterbrandvägg/router: Den ska som sagt i första läget inte tillåta något alls utifrån, varpå du öppnar för det du vill tillåta. Det är också här du skyddar dig mot IP-adress-spoofing. En del brandväggar har en explicit flagga för att tillåta eller förbjuda inkommande trafik från privata nätverkssegment ("bogon networks"), och den ska naturligtvis stå till att förbjuda inkommande trafik från Internet som låtsas komma från sådana nät.