3 port-forwarding server-message-block
好了,设置如下:
互联网 -> 调制解调器 -> WRT54G -> 集线器 -> winxp 工作站和 linux smb 服务器。
除了在学校,它基本上是一种家庭式的分布式互联网连接设置。我想要的是远程、异地 smb 访问。我想我需要找出哪些端口需要转发,然后将它们转发到路由器上的服务器。我在 SF 上的另一个问题中被告知多个端口需要转发,这变得有些复杂。 我需要知道的一件事是哪些端口需要为此转发,以及由此可能产生哪些复杂情况或漏洞。在这样做之前,您认为我应该拥有的任何其他信息都会很棒。 有人告诉我 SMB 不支持加密,这很好。鉴于我设置了身份验证/访问控制,所有这一切意味着一旦我的一个用户进行身份验证并开始下载数据,未加密的流量可能会被中间人拦截和读取,对吗? 鉴于这是由于缺乏加密而引起的唯一问题,这对我来说无关紧要。我想这也可能意味着 MITM 将虚假数据注入数据流,例如:用户请求文件 A,MITM 拦截并用一些虚假数据替换文件 A 的内容。这也不是真正的问题,因为我的用户会知道出了什么问题,而且无论如何都不太可能有人愿意这样做。
我被告知的另一件事是微软对 SMB 的糟糕实施,以及它在安全方面的糟糕记录。 如果只有客户端是 MS,这是否适用? 我的服务器是linux。
你绝对不想这样做......至少不是窗户。要转发的端口 [samba 和 windows]:tcp 135、139、445。可能 - 但不一定是 135-139 udp。
访问windows工作站的部分
135,445的TCP被多路复用为大量的目的-包括远程注册表访问,远程管理,通信的域控制器。它们是大量利用旧漏洞的目标。更多的错误可能迟早会出现..你不想接触它们。
我建议您只转发端口 3389 tcp [远程桌面] 并通过远程桌面连接使用磁盘的“本地资源共享”。这个协议似乎比微软的 smb/rpc 少被利用。如果可能的话,使用一些不同的端口,将连接限制在可信源范围内的 ips 并且 - 最好不要这样做,使用 vpn 例如openvpn。
访问linux box的部分
那是另外一回事了——我不会那么害怕利用 samba,但仍然——数据会在疯狂的互联网上未加密。我认为在 linux 上真正终止 vpn 会很好。如果不可能 - 只需在 linux 上 smbmount windows 共享,让它们通过 scp 从 linux 可用,重定向路由器上的端口 22 - 您可以使用 winscp 来访问您的文件,但您可以放心。
| 归档时间: |
|
| 查看次数: |
60638 次 |
| 最近记录: |