Forum Linux.débutant Cacher un serveur

• # avec iptables

  Posté par Zippo Potamme (site web personnel) le 04 août 2004 à 09:43. Évalué à 1.

  

  Peut être qu'en utilisant iptable et en interdisant tout acces samba (port 139 et cie), et ping aux ip des machines windows (si tu n'en a pas trop) tu peut cacher ton serveur.

• # Heu...

  Posté par Ju. le 04 août 2004 à 09:47. Évalué à 2.

  

  /etc/init.d/samba stop ?
  
  Le mettre dans un groupe qui n'est pas le groupe de travail de tes win (si tu n'es pas sur un domaine)
  
  Le faire ecouter sur sur 127.0.0.1 uniquement via le parametre interfaces ?

  • [^] # Re: Heu...

    Posté par miky57 le 04 août 2004 à 10:49. Évalué à 1.

    

    Je me suis peu être mal fait comprendre, je souhaiterai juste le cacher, les clients ont des connexions sur ce serveur (effectuées par des scripts) et je suis bien sur un domaine.

    • [^] # Re: Heu...

      Posté par Krunch (site web personnel) le 04 août 2004 à 13:42. Évalué à 2.

      

      Je connais pas grand chose à Samba mais si j'ai bien compris, il y a deux daemons: smbd et nmbd. Le premier s'occupe des partages de fichiers et le second de la résolution des noms NetBIOS. Donc je suppose qu'en arrètant nmbd, ton serveur va devenir "invisible".

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Heu...

        Posté par Pat Le Nain le 04 août 2004 à 17:00. Évalué à 1.

        

        Donc je suppose qu'en arrètant nmbd, ton serveur va devenir "invisible".
        Peut-être mais il deviendrait du coup inaccessible aux scripts, ce qui n'est pas le but recherché. A priori ce qu'il demande me parait impossible à réaliser (mais je ne suis pas un expert)

        • [^] # Re: Heu...

          Posté par Krunch (site web personnel) le 04 août 2004 à 18:08. Évalué à 2.

          

          Qu'est-ce que tu veux dire par "innaccessible aux scripts" ? S'il est accessible aux humains il est accessibles aux scripts non ? En admettant que le partage de fichiers sans nmdb est possible, il faudra juste utiliser l'adresse IP (ou le nom DNS) à la place du nom NetBIOS pour accéder aux partage de la machine.
          
          Je serais quand même intéressé de savoir si ça marche ou pas.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: Heu...

            Posté par miky57 le 05 août 2004 à 16:39. Évalué à 1.

            

            J'ai fait le test effectivement, le serveur est caché mais après d'une déconnexion, il n'est plus possible de ce connecter même avec le nom DNS. Je n'ai pas essayé avec l'adresse IP, cela entraînerai la modif trop de scripts. Tant pis le serveur sera visible (c'était juste pour une sombre histoire de politique sécuritaire...).
            
            Merci pour votre aide.

    • [^] # Re: Heu...

      Posté par Olivier (site web personnel) le 04 août 2004 à 19:23. Évalué à 1.

      

      Utilise "iptables" (l'outil de configuration de Netfilter, le FW de Linux), afin d'interdir à ton Samba d'envoyer ou de recevoir des messages de broadcast (adresse IP de type 192.168.0.255 si ton réseau est en 192.168.0.0/255.255.255.0) :
      
      iptables -A INPUT -d 192.168.0.255 -j DROP
      iptables -A OUTPUT -d 192.168.0.255 -j DROP
      
      Si tu veux être moins restrictif, tu peux en plus filtrer les paquets de broadcast suivant leurs ports (utiliser "ethereal" afin de rechercher la bonne combinaison de ports TCP/UDP en 135, 137 et 139) :
      
      iptables -A INPUT -d 192.168.0.255 -p tcp --dport xxx -j DROP
      iptables -A OUTPUT -d 192.168.0.255 -p udp --dport xxx -j DROP
      
      <pub gratuite>
      Et si la configuration de Netfilter te paraît être un calvaire, tu peux lire ceci : http://olivieraj.free.fr/fr/linux/information/firewall/(...)
      </pub gratuite>
      
      Par contre, l'inconveniant d'utiliser "iptables" pour filtrer Samba, c'est que ton /var/log/messages va se retrouver emcombré de messages d'erreur de smb/nmd, qui vont raler qu'ils ne peuvent pas communiquer avec l'exterieur...

    • [^] # Re: Heu...

      Posté par -=[ silmaril ]=- (site web personnel) le 04 août 2004 à 23:25. Évalué à 2.

      

      S'ils ont des connexion sur la machine, tu ne peut pas la cacher ....
      Quoique j'ai un serveur samba qui me fait l'inverse, il est invisible la plupart du temps mais je peut l'utiliser en partage et meme avec son nom NetBIOS, alors ....

• # Pour cacher ton serveur ?

  Posté par ploum (site web personnel, Mastodon) le 04 août 2004 à 19:32. Évalué à 3.

  

  Fous le derrière la porte, en dessous d'un gros carton et de quelques feuilles marquées "Urgent".
  
  Personne n'ira le chercher là, je suis sur qu'il y sera bien caché.

  Mes livres CC By-SA : https://ploum.net/livres.html

  • [^] # Re: Pour cacher ton serveur ?

    Posté par Krunch (site web personnel) le 04 août 2004 à 21:56. Évalué à 2.

    

    Dans le même genre tu peux mettre ton serveur sur un Soekris et le planquer dans le boitier d'un autre PC. En bricolant un peu ya surement moyen de pomper sur la même alimentation que le PC "hôte" et d'utiliser sa connexion réseau en faisant un bridge ou à coup de wifi par exemple de manière à ne pas avoir de cables suspects "en trop".

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.