Samba+WINS и безопасность (какие порты открывать?)

[volkoff]

Имеется сервер под Linux, раздающий Интернет в локальную сеть. На нем же стоит билинговая система. Сейчас на нем (в цепочке INPUT) открыто всего три порта 443 (для доступа на сервер Apache), 22 (SSH) и 80 (интернет через Squid. Точнее открыт 3128 и то только для меченных пакетов. А 80 перенаправляется на 3128, с маркировкой пакетов.). Все остальное надежно прикрыто файерволом.
Теперь появилась необходимость запустить на том же сервере Самбу, да еще и с сервером WINS, и в придачу сервер нужно сделать главным браузером.
Подскажите, какие порты для всего этого нужно открыть?
И, вообще, такое впечатление, что вся безопасность летит к черту.
Экспериментальным путем выяснил, что для того, чтобы расшарить в Самбе файловые ресурсы нужно открыть 137 порт для UDP пакетов и 139 порт для TCP.
А какие порты нужно открывать для WINS?
А какие порты нужно открывать для того, чтобы сервер мог работать в сети главным браузером?
А как, вообще, решить поставленную задачу с наименьшими потерями для безопасности системы?

[zag]

Мое мнение - шлюзу-шлюзово!
Апачу, фтп и почте - место только в DMZ!
Самба - только в локалке! Нефиг юзеру делать на шлюзе :devil_2:

zag добавил в 15.06.2005 01:11

А что это такое

сервер мог работать в сети главным браузером?

Это что, может быть еще и PDC? Это уже ни в какие ворота....

[VAVka]

zaq абсолютно прав. Есть такое понятие, как роль сервера (типа "разделения труда"). Вот его нужно очень и очень строго придерживаться и число возможных вариантов смешивания ролей должно быть минимальным. Это классика построения ЛВС. Вы уже верно заметили, что безопасность в этом случае летит к черту (а то и дальше-глубже). Поэтому, разнесите функции на несколько физических хостов.
Пример: хост А - фаервол + билинг; хост Б - фаервол + кэш. прокси; хост В - шары + PDC. При этом хосты А и Б - это одна подсеть (т.н. DMZ), а хост В и клиенты - другая. В этом случае, все (!!!) хосты могут быть достаточно маломощными и собрать их из какого-нить древнющего железа не составит труда (исключение, хост В, которому наверняка потребуется большой диск). При этом мы получаем логичную структуру, управляемую и гибкую.

[sash-kan]

Для volkoff:
ни в коем случае не оспаривая мнений предыдущих ораторов:
если все-таки очень надо, чтобы работала samba, открой еще 138 udp.
а wins, afaik, ходит по тем же портам.

[volkoff]

Для volkoff:
если все-таки очень надо, чтобы работала samba, открой еще 138 udp.
а wins, afaik, ходит по тем же портам.

↑

А вот эти порты не нужны?
42/TCP WINS Replication
445/TCP SMB
А насчет второго сервера, честно говоря, не знаю что делать. Вон на шкафу стоит старая ненужная и никуда больше не годная железка, которая вполне справится с этой задачей. НО. Сеть то домашняя. Для сервера сгородил на балконе шкафчик-полочку. Второй туда не войдет. Сразу не предусмотрел, да и не сказать, что места много. А дома ставить железку, которая будет круглосуточно жужжать совсем не хочется. Но, похоже, придется что-то еще на балконе городить и второй сервер все же ставить, т.к. жить с такими дырами в безопасности совсем не хочется.
Но, с другой стороны, сеть то домашняя. И больших потерь в случае чего не предвидится. Ну в крайнем случае придется переставить систему, трафик будет потерян за последний день, на день или два все (два десятка юзверей)останутся без интернета... Да вобщем то и все.
Так сказать, меры безопасности должны быть адекватны возможным потерям.
Вот и думаю, может временно, в качестве, так сказать эксперимента, поставить все на шлюзе?

[VAVka]

НО. Сеть то домашняя...

↑

С этого и надо было начинать. Решать вам, в итоге. Стоят ли *потенциальные* проблемы с домашней сетью, в случае падения[хака] хоста "все-в-одном", усилий по развертыванию схемы с DMZ?

Пмсм, нафиг-нафиг.

volkoff:

А вот эти порты не нужны?
42/TCP WINS Replication
445/TCP SMB

Нет.
42 - репликация м/у разными WINS-серверами;
445 - порт, на котором работает SMB напрямую поверх TCP/IP (ранее использовался NetBT (NetBIOS over TCP/IP)). В ОС начиная с Win2k. Естесственно, оставлена совместимость со старым SMB.