|
作者: TecZm [teczm] 版主 | 登录 |
符合老A的本版规定,属于企业应用。欢迎高手勘误 1.可控网上邻居samba 1.前言: xx单位内网中共有机器x台,文件分散存储在各自的机器上,采用网上邻居共享。各主机未安装防火墙,网内非授权攻击行为较多。已发生多起非授权用户恶意窃取非授权数据事件。 为提高数据安全性、完整性和保密性,需要对数据采用集中存储、访问控制的技术手段。 2. 解决方案 [略] 3. 只以某部门samba为例子 1)所有数据存储在serverx上,serverx采用FreeBSD5.2.1操作系统;部门内用户采用windows自带的网上邻居访问指定目录。 2) 共享目录及权限划分如下: 目录 备注 可读 可写 /../pub 所有授权用户可读资料 All 部门主管manager01 /../pub01 第一小组内部公开资料 第一小组成员 第一小组组长manager02 /../pub02 第二小组内部公开资料 第二小组成员 第二小组组长manager03 /../username 个人资料 个人&直接领导 个人 3)用户组划分如下: 组名 组定义 组成员 exam 所有部门内成员 ...... manager 部门经理&小组长 manager01/manager02/manager03 exam01 第一小组成员 manager01/.... exam02 第二小组成员 manager02/.... 4)具体实现: 引用: smb.conf如下: 引用: 2.防火墙+网关ipfw+natd 1). 将以下选项编译进内核 options IPFIREWALL options IPDIVERT options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE #通过syslogd记录数据包 options IPFIREWALL_VERBOSE_LIMIT=10 #限制通过syslogd记录数量,10可更改为100或其他正整数 2.)在/etc/rc.conf中加入 gateway_enable="YES" #机器设为网关 firewall_enable="YES" #启动时在/etc/rc.firewall中启用防火墙规则 firewall_type="OPEN" #? natd_enable="YES" #natd允许运行 natd_interface="rl0" #rl0是外网网卡名称 natd_flags="" #在启动时通过natd的任何额外选项 附: IPFW规则管理 格式: ipfw [-N] 命令 [index] 动作 [log] 协议 地址 [选项] 1. 命令包括: (1) add 添加规则 (2) delet 删除规则 2. 动作包括: (1) allow 通过数据包 (2) reject 丢弃数据包,但返回一个无法到达的ICMP数据包 (3) deny 丢弃数据包 (4) count 更新数据包计数器,然后执行下一条规则 3. 协议 (1) all 所有ip数据包 (2) tcp tcp数据包 (3) udp udp数据包 (4) icmp icmp数据包 4. 地址 格式:from add/mask[port] to add/mask[port][via interface] ps: add可用any表示所有ip地址,me表示localhost 5.选项包括: (1) frag 数据包的第2个分片 (2) in 进入的数据包 (3) out 发出的数据包 (4) establisted 已建立连接的数据包 (5) setup 试图建立连接的数据包 (6) icmptypes 类型 在type表中出现的icmp数据包类型 0 ping reply 3 目标机器不能到达 5 重定向 8 ping request 11 time exceeded ipfw实例 **禁止所有机器ping我** ipfw add deny icmp from any to me icmptypes 8 **禁止外网机器ping我** ipfw add allow icmp from 192.168.78.1/24 to me icmptypes 8 ipfw add deny icmp from any to me icmptypes 8 **禁止内网用户访问www.sina.com.cn** ipfw add deny tcp from me to www.sina.com.cn **除了192.168.87段,禁止所有telnet连入** ipfw add allow tcp from 192.168.7.1/24 to me 23 ipfw add deny tcp from any to me 23 **禁止内网上QQ** ipfw add deny tcp from any to any 8000 **禁止tcp主动接入** ipfw add deny tcp from any to me setup [此贴被 TecZm(teczm) 在 01月10日19时09分 编辑过] |
地主 发表时间: 05-01-10 18:56 |
回复: q8406654 [q8406654] 论坛用户 | 登录 |
没有说怎么设置主机共享上网 |
B1层 发表时间: 05-01-10 22:18 |
回复: TecZm [teczm] 版主 | 登录 |
引用: |
B2层 发表时间: 05-01-11 10:23 |
回复: tuzi [tuzi] 版主 | 登录 |
没学过BSD 很NB的一个系统 一定要好好学 |
B3层 发表时间: 05-01-11 14:34 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号