O Samba é um servidor destinado a ser usado dentro da rede local, ou da intranet. É muito difícil imaginar uma situação em que você gostaria de disponibilizar um servidor Samba na internet. É relativamente comum encontrarmos máquinas ou mesmo
servidores Windows onde o compartilhamento de arquivos e impressoras está disponível para o mundo devido a algum descuido do dono, mas é quase impossível encontrar alguém que o faça intencionalmente.
Existem muitas formas de impedir que o servidor Samba fique disponível na internet. Em um servidor com duas placas de rede, a mais simples é configurar o firewall para bloquear todas as conexões provenientes da placa ligada à internet e/ou adicionar a
linha “interfaces = eth1” (onde a “eth1” é a placa da rede local) na seção [global] do smb.conf, o que faz com que o Samba passe a escutar apenas na interface especificada.
Mais uma opção que pode ser usada é a “hosts allow”, que permite que você especifique uma faixa de endereços a partir da qual o servidor vai aceitar requisições. Limitando o acesso à faixa de endereços da rede local, você garante que ele não vai ser
acessado por hosts da internet. Nesse caso, você adicionaria a linha “hosts allow = 192.168.0.” (onde o 192.168.0. é a faixa de endereços da rede local) na seção [global]. Você pode inclusive combinar as três coisas (o firewall e as duas
regras restritivas), afinal, segurança nunca é demais.
No caso da rede local, o firewall nem sempre é necessário, já que em pequenas redes você normalmente conhece os usuários. Em redes maiores, entretanto, o cenário é mais “cada um por sí” e uma configuração mais cuidadosa torna-se necessária. O ideal é
ativar o firewall e manter abertas apenas as portas dos serviços intencionalmente disponibilizados, minimizando a chance de alguém obter acesso ao servidor através de algum serviço que você não sabia que estava ativo.
As portas usadas pelo Samba, que precisam ficar abertas na configuração do Firewall são:
137/udp: Usada pelo Daemon nmbd, responsável pela navegação nos compartilhamentos de rede.
138/udp: Também usada pelo nmbd, dessa vez para a resolução dos nomes das máquinas da rede.
139/tcp: Usada pelo daemon smbd, o componente principal do Samba, responsável pelo compartilhamento de arquivos e impressoras.
445/tcp: Esta porta é usada pelos clientes Windows 2000, XP e Vista para navegação na rede. Eles utilizam o protocolo CIFS, no lugar do antigo protocolo NetBIOS.
Um exemplo de regras do Iptables que você poderia incluir no seu script de firewall para mantê-las abertas é:
iptables -A INPUT -p udp –dport 138 -j ACCEPT
iptables -A INPUT -p tcp –dport 139 -j ACCEPT
iptables -A INPUT -p tcp –dport 445 -j ACCEPT
Deixe seu comentário