Hatena::Groupfreebsd

FreeBSD 行き当たりばったり記

2013-07-27セキュアなファイル共有を構築する。

というかstunnel面白すぎ。 01:02

ここ

ここの合わせ技+アルファだけど、

サーバのstunnel.conf抜粋

[ssmb]
accept  = 0.0.0.0:任意の待受ポート
connect = localhost:445

smb.conf抜粋

   [global]
   hosts allow = 127.
   hosts deny = ALL
   smb ports = 445
   interfaces = 127.0.0.1
   bind interfaces only = Yes

クライアント(windows

コントロールパネルからハードウェアの追加と削除かなんだか、

検索がタイムアウトしたら、「ハードウェアは既に接続しています」とかなんとか。

「新規にハードウェアを追加する」というような選択。

検索するのでなく「拡張」からハードウェアを選択。

「ネットワークアダプタ」を選択し、「microsoft network adapter」を選択。

出来上がったインターフェースに未来永劫自分のネットワークで使用しないアドレスを設定。

winsタブでnetBIOSoverTCP/IPを使用しないに設定。

windows用のstunnelをインストールし、

stunnel.confでacceptを上記のインターフェースのポートtcp/139に

connetcをサーバのアドレス:待受ポートに設定。

(サーバでnmbd bind explicit broadcast = Yes とするとうまく行かない

&クライアントでも何らかのインターフェースでnbtが有効じゃないとport139にうまく接続できない。

今後の研究課題なり)

とりあえずtcpdumpしてもnetbios,smb,cifsのパケットは全然出なくなった。

これなら万一ネットワークに侵入されてもmd5やntlmのパスワードを窃取される心配も軽減するし、

そもそもファイル共有しているかどうかも不明になるんじゃないでしょうか?

いやぁ、stunnel恐るべし。

ゲスト



トラックバック - http://freebsd.g.hatena.ne.jp/minus_zero/20130727