Zorgen dat SMB shares niet worden doorgelinkt naar FTP

IP adres van die FTP server bannen?

Alleen een iprange/ipadressen toegang geven tot de shares?

edit:

Zijn die ftpservers van studenten op het intern netwerk?
blocken die handel

Misschien heb je hier wat aan:
http://ftp.easynet.be/sam...ring-samba.html#id2545707

[ Voor 64% gewijzigd door Verwijderd op 05-05-2004 17:35 ]

Ik snap het probleem niet helemaal. Je mount schijven op een windows-bak, en die worden geshared via FTP. Dat wil je niet. Mount ze dan niet in je FTP-root.

gewoon die persoon geen toegang meer tot de shares geven als je daar achter kom...
veel meer kan je volgens mij niet doen

Ah, oh, misschien dat ik het nu beter begrijp..

Is het probleem dan huisgenoten, tegen de afspraken in, met opzet SMB shares toegankelijk maken voor FTP?

Als dat het probleem is, forget it. Wat je ook doet, er zal altijd een weg omheen zijn.

Een eenvoudige (maar niet onfeilbare) oplossing is het om alleen de gebruikersnamen toegang te geven tot de shares. FTP-servers gebruiken vaak een local account, of iig. een speciaal account. Zolang die maar geen toegang heeft..

//edit

ik bedenk me nog een andere methode, die misschien wel feilloos werkt.. gebruik squid als proxy (ook voor FTP, desnoods transparant) , en filter alle bestandsnamen die je niet wilt sharen..

[ Voor 18% gewijzigd door Verwijderd op 05-05-2004 19:41 ]

tauri schreef op 05 mei 2004 @ 19:37:
gewoon die persoon geen toegang meer tot de shares geven als je daar achter kom...
veel meer kan je volgens mij niet doen

Hier sluit ik me bij aan. Voor het toegang weigeren zie mijn vorige post

Verwijderd schreef op 05 mei 2004 @ 19:40:

[...]

//edit

ik bedenk me nog een andere methode, die misschien wel feilloos werkt.. gebruik squid als proxy (ook voor FTP, desnoods transparant) , en filter alle bestandsnamen die je niet wilt sharen..

'Leuk' karwei alle namen toevoegen en onderhouden Dit zou trouwens alleen werken op de pc's waar de ftpservers op staan en die vallen volgens mij niet onder zijn beheer

[ Voor 49% gewijzigd door Verwijderd op 05-05-2004 19:53 ]

traffic shapen, hun download bijna dichtknijpen, wachten tot ze gaan mekkeren en dan uitleggen dat dat door hun FTP upload komt, wil ook wel helpen denk ik

Samba shares dicht gooien, en iets van sftp opzetten voor lokaal gebruik...
kan je gelijk bijhouden wie wat doet...

alleen dan moet je alles zo instellen dat men maar bij 1 directory kan...

succes overigens...

Move NT > NOS

Lijkt me nou typisch iets wat je op die linux doos moet regelen, al acht de kans op een afdoende werkbare oplossing klein.

hoe komen die lui normaal gesproken op je samba-shares dan?

Lijkt mij dat als je iemand toegang geeft tot je SMB-share, die persoon's ftp server daar ook automatisch toegang toe heeft, en het is aan die persoon om accounts uit te delen op zijn ftp server, en there's not a damn thing you can do about it...

lijkt mij dat je de abusende gebruikers aanspreekt op hun gedrag, en als dat geen effect heeft sluit je ze gewoon af. Hoe weet je trouwens dat ze hun mounted SMB-share geshared hebben via ftp?

Verwijderd schreef op 05 mei 2004 @ 19:44:
'Leuk' karwei alle namen toevoegen en onderhouden Dit zou trouwens alleen werken op de pc's waar de ftpservers op staan en die vallen volgens mij niet onder zijn beheer

a) het toevoegen van bestandsnamen kun je gewoon automagisch doen met een scriptje

b) als je maar een linux server ergens tussen die FTP server en het internet hebt zitten, werkt dit al.

Wat is erop tegen om op je SMB server gewoon het IP adres van de FTP server die je shares "illegaal" mapt te bannen? Heel vervelend dat je huisgenoot dan niet meer bij je SMB shares kan komen, maar dat heeft 'ie dan helemaal aan zichzelf te danken.

gewoon idd. een weekje/maandje je SMB traffic monitoren, klojo's erop aanspreken
en als ze niet luisteren: bannen die hap.

Lijkt me dat je zoiets in een studentenhuis ook gewoon kunt bespreken.

Er was ooit eens een topic over hetzelfde probleem.
Degene die de boel beheerde zat alleen maar te denken in technische maatregelen en allerlei handige foefjes te bedenken.
Het kwam erop neer dat hij niet de ballen had om mensen aan te spreken op hun gedrag. Beetje sociaal probleem ipv technies.
No pun intended maar ik signaleer dat dit een typisch computernerd kwaaltje is

Een aantal dingen die je kunt doen:

1) zorg dat je een upstream firewall beheert, en blokeer inkomend poort 21
2) trap die eikels van je samba server af
3) doe anders samba tussen je server en je clients shapen naar 1KB/s oid

etcetc, eigk is er al met al idd weinig aan te doen, al bovenstaande methodes zijn zonder al teveel moeite te omzeilen, mits je weet hoe. Spreek je huisgenoten er anders op aan en laat ze eens wat lezen over operatie fastlink (van een week of wat geleden, dat ze warez groeperingen opppakte). Bak daar een mooi verhaal omheen en maak ze bang. Dat werkt meestal effectiever dan welk technisch middel dan ook.

1) lol @ r3boot's serverfarm

2) ben je al iets verder met die gasten? Inderdaad aanspreken op hun gedrag en als ze niet luisteren gewoon afstoten als gebruikers van je shares.

ik snap nog steeds niet helemaal waarom je zo moeilijk doet, als je een HTML pagina laat lezen door iedereen kun je toch net zo goed een HTML pagina maken voor iedereen waarop staat dat als je abuset je dan afgesloten wordt?

Dat communiceren hoeft echt niet van jou uit te gaan hoor, als jij ze afsluit komen zij wel bij jou (of niet, dat is ook prima toch?)

moet je nog wel een manier vinden om trafic bij te houden, zou zo 123 niet weten hoe je dat moet aanpakken, maar dat weet google vast wel.

En een proxy ertussen zetten is onmogelijk?

Ken je wel de IP's en MAC addressen van je boosdoeners?

Je zou een algemeen mailtje naar alle gebruikers kunnen sturen waarin je het probleem uitlegt. Je geeft daarin ook aan dat je weet wie het zijn en dat je maatregelen neemt als het niet ophoudt.
Maarregelen kunnen bestaan uit personen bannen, of gewoon helemaal kappen met die shares. Dat kan je aan je publiek voorleggen.

Helaas is het vaak zo dat juist die personen die zich misdragen maling hebben aan een maatregel die een onschuldige groep treft, dus zou ik toch liever personen bannen aan de hand van MAC addressen dan de hele share opheffen.
Maar als het echt een probleem zou worden waar ik vanaf zou willen, zou ik gewoon de stekker eruit trekken.

edit: als je niet verteld hoe je bant, komen ze misschien ook niet op het idee om MAC address te spoofen.
En daarbij ... je ziet weer misbruik .. zet je het nieuwe MAC address toch gewoon weer in de db? Met een goede frontend is dat zo gebeurt.

[ Voor 16% gewijzigd door Aapzak op 11-05-2004 14:07 ]

Verwijderd schreef op 05 mei 2004 @ 23:24:
[...]


a) het toevoegen van bestandsnamen kun je gewoon automagisch doen met een scriptje

Klopt als een bus

Verwijderd schreef op 05 mei 2004 @ 23:24:
b) als je maar een linux server ergens tussen die FTP server en het internet hebt zitten, werkt dit al.

Verwijderd schreef op 08 mei 2004 @ 01:27:
En een proxy ertussen zetten is onmogelijk?

Zover ik het begrijp kan TS er geen proxy tussen zetten omdat alle andere ~300pc's zelf via een andere server of direct op internet komen en niet via de fileserver dus als iemand geen proxy instelt werkt het al niet meer, maar kan wel nog steeds alles flikken.
Als de pc's wel via de fileserver op internet komen is het maar een kwestie van de doorgestuurde poorten naar de ftpservers te blocken kunnen ze nix meer met ftp.

[ Voor 29% gewijzigd door Verwijderd op 11-05-2004 18:32 ]

Verwijderd schreef op 11 mei 2004 @ 18:29:
Zover ik het begrijp kan TS er geen proxy tussen zetten omdat alle andere ~300pc's zelf via een andere server of direct op internet komen en niet via de fileserver dus als iemand geen proxy instelt werkt het al niet meer, maar kan wel nog steeds alles flikken.
Als de pc's wel via de fileserver op internet komen is het maar een kwestie van de doorgestuurde poorten naar de ftpservers te blocken kunnen ze nix meer met ftp.

Nee, clientside hoeft er niets voor ingesteld te worden. Ik stel dit voor:

Internet/Intranet ----> transparante proxy --> FTP Server

Doordat je de proxy transparant draait, heeft de user geen keuze of ie 'm wel of niet wil gebruiken. Enige voorwaarde hiervoor is dat je fysiek toegang hebt tot de FTP server.

Aapzak schreef op 11 mei 2004 @ 14:06:
Ken je wel de IP's en MAC addressen van je boosdoeners?

Dit is dus niet makkelijk te achterhalen zei hij al, omdat je met 300 mensen zit, dus dat wordt dan leuk de logs doorkijken naar mensen die dubbele dingen downloaden.

Maar even een ander puntje:
Van buitenaf lijkt het of die persoon die de share mount en doorshared via ftp deze bestanden heeft. Daarnaast kost het hem twee keer zoveel verkeer aangezien al dit vekeer er bij hem ingaat en ook nog eens uitgaat. Dus waarom zoveel moeite doen

Dat met die passwords gaat ook niet werken, want als er eenmaal gemount is met het juiste password dan blijft de verbinding gewoon bestaan. Daarnaast zou je hier makkelijk een scriptje voor kunnen schrijven.

oplossingen moet je zoeken in de volgende gebieden:
-Je weet van mounts dat ze soms niet actief zijn(geen filetransfer) Deze verbindingen kun je na een bepaalde timeout gewoon verbreken.
- Binnen een lan-netwerk weet je ook dat iedereen een bepaalde snelheid minimaal haalt. Ftp gebruikers zijn meestal langzamer. Hierop zou je kunnen filteren. Dit kan echter niet in samba. Een omweg om dit te bereiken is een programma dat wel een minimumsnelheid van het ophalen van een file kan vaststellen(ftp server ofzo). Deze dan lokaal te mounten naar een nieuwe map en die map dan te sharen met samba. Helaas ken ik geen ftp-server die per file limiteert, alleen maar per client-connectie(en dan wordt de hele share geblokkeerd, met iedereen die aan het downloaden was).

De oplossing
Maak een share in samba met daarin links(lege bestanden) van wat je op je ftp server hebt staan en installeer openftp met een minumum download(min_dl ). Verwijs iedereen door naar je ftp server.

En als je nou gewoon geen SMB gebruikt? Sowieso een kloteprotocol (of lag het aan mij dat ik nooit kan resumen?).
Gebruik een protocol dat in Windows niet standaard te mappen is naar een driveletter of pad.
Met linux (lufs, ftpfs) kom je hier natuurlijk wel omheen als stouterd. Maar hoeveel van die lui draaien Linux?
En de files delen via HTTP? Niet elegant, maar wel moeilijk te mappen voor de FTP-servers van de stouterds.