появляется список компьтеров сети провайдера

[crazy_user]

Господа, помогите, пожалуйста!
начал замечать, что переодически в обозреватели сети винды начали появляться компы клиентов провайдера.
Логику появления отследить пока не могу, т.е. практически всегда все ок, вижу компы только своей сети, а иногда захожу и вижу всех.. где копать что смотреть? стоит ubuntu 12.04 сервер. eht1 смотрит в локалку, eth0 в сетку провайдера.

[rayanAyar]

у вас похоже samba снаружи не прикрыта. "Выговор сисадмину с занесением". И срочно настраивать iptables. А то ведь не только вы видите других, но и вас видно скорее всего. Надеюсь на серваке хотя бы доступ не гостевой.

[crazy_user]

у вас похоже samba снаружи не прикрыта. "Выговор сисадмину с занесением". И срочно настраивать iptables. А то ведь не только вы видите других, но и вас видно скорее всего. Надеюсь на серваке хотя бы доступ не гостевой.

Админу уже сделали выговор с пинком под-зад, после 3го за этот год "укладывания" конторы.. Пока я, удаленно, исполняю его функции. Но в линуксе, я новичок.. не особо знаю даже где рыть..
Больше по виндо-серверам..

[rayanAyar]

для начала тогда сделайте в smb.conf:

Код: [Выделить]

interfaces = 127.0.0.0/8, eth1
Но iptables я бы всё таки рекомендовал проверить и закрыть всё лишнее.

[AnrDaemon]

Рыть для начала в
iptables-save

[crazy_user]

Рыть для начала в
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
#-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012

Самбу подрезал. конф. в спойлере. там, вроде, все нормально. Понаблюдаю...

[_rod_]

Если локалка из вин-хостов видна на ван-интерфейсе, не закрыты порты

135/TCP,UDP   DCE endpoint resolution   Официально
135/TCP,UDP   Microsoft EPMAP (End Point Mapper), также известный как DCE/RPC Locator service[8], используется службами удалённого обслуживания, такими как DHCP, DNS и WINS   Неофициально
137/TCP,UDP   NetBIOS NetBIOS Name Service   Официально
138/TCP,UDP   NetBIOS NetBIOS Datagram Service   Официально
139/TCP,UDP   NetBIOS NetBIOS Session Service   Официально

Это Windowsкая локалка.
Скорее всего, порты открыты в обе стороны.
http://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP

[crazy_user]

может как то глобально можно рубануть доступ извне в локалку?

[ефгкгы]

может как то глобально можно рубануть доступ извне в локалку?

топором по кабелю
а если серьезно, то можно канешн - на шлюзе iptables правильно настроить

[crazy_user]

может как то глобально можно рубануть доступ извне в локалку?

топором по кабелю
а если серьезно, то можно канешн - на шлюзе iptables правильно настроить

топором по кабелю это конечно "тема" но я за 800 км от этого кабеля а вот где и что написать в айпитейбле..? подскажите, плиз

[ефгкгы]

вы "внутри" локалки или из внешки собираетесь править правила?
а то сейчас сами себе руки обрежете

[crazy_user]

вы "внутри" локалки или из внешки собираетесь править правила?
а то сейчас сами себе руки обрежете

я внутри офисной локалки

[ефгкгы]

как с английским?
https://wiki.archlinux.org/index.php/Simple_stateful_firewall
вот мануальчик есть, возможно есть и для убунты такое, но сильно отличаться они не должны
Пользователь решил продолжить мысль 04 Февраля 2013, 16:55:08:читать нужно вдумчиво, просто копипастить команды не годится

[crazy_user]

добавил в nat:
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

компы сетки провайдера пропали. остался в списке лишь один неопознанный..
может какая то служба глючить? т.е. какое то время все ОК, а потом "отваливается"

после ручного рестарта самбы "левые" компы пропадают. в конфиге самбы вот-так:
;interfaces = 127.0.0.0/8 eth1

[AnrDaemon]

добавил в nat:
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

Бред.