Re: Intrusos via SAMBA
Hola,
gracias por las respuestas, se puede minimizar el problema incluyendo una nueva
regla para ipmasq:
eulalia:~# cat /etc/ipmasq/rules/I80extsmb.rul
#No aceptar conexiones netbios desde los interfaces exteriores
if [ -n $EXTERNAL ]; then
for i in $EXTERNAL; do
ipnm_cache $i
case $MASQMETHOD in
ipfwadm)
# por hacer si usas kernel 2.0 ;)
;;
ipchains)
# por hacer si usas kernel 2.2 ;)
;;
netfilter)
$IPTABLES -A INPUT -j LOG -i ${i%%:*} --protocol tcp
--destination-port 137:139
$IPTABLES -A INPUT -j DROP -i ${i%%:*} --protocol tcp
--destination-port 137:139
#$IPTABLES -A INPUT -j LOG -i ${i%%:*} --protocol udp
--destination-port 137:139
$IPTABLES -A INPUT -j DROP -i ${i%%:*} --protocol udp
--destination-port 137:139
;;
esac
done
fi
Comento el log de UDP porque resulta molesto que los mensajes salgan a consola
(¿se puede evitar y que vayan solo a syslog?) ya que los intentos de
localización por UDP siguen existiendo.
--
Un saludo,
Raúl Hernández [EMAIL PROTECTED]
GnuPG-Public-Key: 0xE08216CA http://www.keyserver.net
Re: Intrusos via SAMBA
Comento el log de UDP porque resulta molesto que los mensajes salgan a consola (¿se puede evitar y que vayan solo a syslog?) ya que los intentos de localización por UDP siguen existiendo. tienes que configurar una entrada del tipo *.debug /var/log/debug.log en tu syslog y añadir loglevel=debug en la regla de iptables para que estos mensajes vayan a este archivo y no a consola, claro, si tienes una entrada que diga que ete tipo de mensajes tambien vayan a consola debes deshabilitarla. saludos -- __ http://www.linuxmail.org/ Now with POP3/IMAP access for only US$19.95/yr Powered by Outblaze
Intrusos via SAMBA
Hola a todos, en un firewall con iptables (ipmasq) y samba estoy recibiendo mensajes de este tipo: -- Dec 10 20:50:13 eulalia pppd[284]: kernel does not support PPP filtering Dec 10 20:50:14 eulalia kernel: ip_tables: (C) 2000-2002 Netfilter core team Dec 10 20:50:14 eulalia kernel: ip_conntrack (256 buckets, 2048 max) Dec 10 20:51:22 eulalia smbd[495]: refused connect from 207.87.240.73 Dec 10 20:52:07 eulalia smbd[511]: refused connect from 80.19.24.222 Dec 10 20:53:03 eulalia smbd[533]: refused connect from 200.31.155.104 Dec 10 20:53:12 eulalia smbd[539]: refused connect from 200.50.122.38 -- El acceso a los recurso SAMBA solo se permite desde unas IP locales, por lo que no creo que hayan accedido, pero no sé cómo encuentran mi IP nada más conectar. ¿Alguien me puede echar una mano? Gracias y... -- Un saludo, Raúl Hernández [EMAIL PROTECTED] GnuPG-Public-Key: 0xE08216CA http://www.keyserver.net
Re: Intrusos via SAMBA
On Tue, Dec 10, 2002 at 08:57:13PM +0100, [EMAIL PROTECTED] wrote: Hola a todos, en un firewall con iptables (ipmasq) y samba estoy recibiendo mensajes de este tipo: -- Dec 10 20:50:13 eulalia pppd[284]: kernel does not support PPP filtering Dec 10 20:50:14 eulalia kernel: ip_tables: (C) 2000-2002 Netfilter core team Dec 10 20:50:14 eulalia kernel: ip_conntrack (256 buckets, 2048 max) Dec 10 20:51:22 eulalia smbd[495]: refused connect from 207.87.240.73 Dec 10 20:52:07 eulalia smbd[511]: refused connect from 80.19.24.222 Dec 10 20:53:03 eulalia smbd[533]: refused connect from 200.31.155.104 Dec 10 20:53:12 eulalia smbd[539]: refused connect from 200.50.122.38 -- El acceso a los recurso SAMBA solo se permite desde unas IP locales, por lo que no creo que hayan accedido, pero no sé cómo encuentran mi IP nada más conectar. ¿Alguien me puede echar una mano? Pues explicándole a smb.conf que sólo acepte conexiones desde ciertos hosts y reforzando la seguridad a nivel de paquetes con iptables no deberías tener problemas. Al menos no directamente con samba, habría que ver el resto de los servicios... ¿En qué necesitas ayuda? Salu2, -- Roberto
Re: Intrusos via SAMBA
[EMAIL PROTECTED], [EMAIL PROTECTED]:57:13(+0100): no sé cómo encuentran mi IP nada más conectar. Son virus y están continuamente escaneando. Como el code red hace unos mesecitos ;^). -- David Serrano [EMAIL PROTECTED] - Linux Registered User #87069
