Вопрос: Как отключить функции широковещания SAMBA?


Мне не нужно какое-либо широковещательное / автообнаружение, все детерминировано и строго настроено в моих сетях. Я в любом случае бросаю мусор SAMBA в эфир по брандмауэру, не могу ли я просто отключить их, чтобы мой сетевой трафик был чистым?


4
2018-06-29 01:04


Источник


1. Вы получите лучшие ответы, если вы укажете свою ОС и версию, а также версию Samba. 2. Создает ли Samba достаточно широковещательный трафик, который фактически вызывает что-то плохое? Другими словами, почему вы беспокоитесь об этом? - mfinni
Никаких проблем нет, но я бы хотел, чтобы имело место только значимый трафик - только для аккуратности. ОС - Ubuntu 10.04 Serer x64, SAMBA является стандартным из репо. - Ivan


Ответы:


Убить nmbd

отредактируйте скрипты rc / init, запускающие smbd и nmbd, чтобы они не запускали nmbd. nmbd - это компонент автоматического обнаружения самбы. Отключение его приведет к сокращению трафика.

http://www.samba.org/samba/docs/man/manpages-3/nmbd.8.html


3
2018-03-02 20:34





В Debian, по крайней мере, вы можете использовать опцию «disable netbios = yes» в вашем файле smb.conf. Я думаю, что это лучший вариант, чем редактировать скрипты init. Таким образом, вам не придется редактировать сценарии инициализации каждый раз, когда они перезаписываются обновлениями.


7
2017-11-10 13:37



Я могу подтвердить, что это лучший вариант для Ubuntu 14.04 - /etc/init/nmbd.conf файл проверяет, disable netbios = yes находится в /etc/samba/smb.conf и не запускает nmbd. - Adam Kerz


Просто используя disable netbios = yes в вашем файле конфигурации не остановит nmbd от сценария init.d. Вам нужно вручную прокомментировать параметры nmbd из сценария после убийства nmbd, потому что nmbd снова запустится после перезапуска служб samba или перезагрузки.

Вы можете проверить, не работает ли netbios, используя следующую команду:

netstat -an | grep 137 (or 138)

Это покажет, активны ли слушатели в вашей системе, используя номера портов 137 (имя netbios) и 138 (датаграмма Netbios).


2
2018-05-01 09:46



Неверно на Ubuntu 14.04 и, по-видимому, Debian тоже (неудивительно). - Adam Kerz


Я действительно сделал некоторые iptable правила об netbios вместо того, чтобы отключить его.
(Но, конечно, вы можете отключить его, добавив disable netbios = yes через smb.conf файл в [global] раздел).

Я запускал выделенный сервер, но они на самом деле постоянно говорили мне, что есть атаки netbios, поэтому я сделал VPN для своих клиентов.
(если вы используете сервер через маршрутизатор, вам не нужно настраивать VPN, но если вы используете удаленные подключения из TCP / IP для совместного использования в сети, я действительно советую вам сделать это),

Таким образом, есть мое решение (замените IP-диапазон на ваш, как 192.168.0.0/24, в зависимости от IP-адресов вашего маршрутизатора):

Сначала отклоните все соединения, используемые портами netbios через iptables:

iptables -A INPUT -p udp -m udp --dport 137 -j REJECT
iptables -A INPUT -p udp -m udp --dport 138 -j REJECT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j REJECT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j REJECT

Это блокирует:

  • Порт UDP 137 для службы имен NetBios
  • Порт UDP 138 услуг NetBios Datagram
  • Порт TCP 139 для сервисов сеанса NetBios
  • TCP-порт 445 для службы NetBios Microsoft Discovery

Во-вторых, вы будете принимать всех локальных (или VPN) клиентов для доступа к портам netbios через iptables:

iptables -A INPUT -p udp -m udp -s 10.8.0.0/24 --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp -s 10.8.0.0/24 --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 10.8.0.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 10.8.0.0/24 --dport 445 -j ACCEPT

Согласно этой конфигурации, которая будет принимать соединения из всех ip с 10.8.0.1 через 10.8.0.254,

Вы можете найти дополнительную информацию для IP-маршрутизации там: https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation

Надеюсь, это поможет.


1
2018-01-23 12:16