Zorgen dat SMB shares niet worden doorgelinkt naar FTP

Pagina: 1
Acties:

  • Belial_666
  • Registratie: November 1999
  • Laatst online: 31-01 17:34
Probleem:

We hebben 1 linux server in een studenten huis staan met heel veel films en andere dingen ( voor eigen gebruik uiteraard)

Nu blijkt dat via SMB er word doorgelinkt naar FTP servers zodat de alles nu ook van buiten bereikbaar is

Hoe kan ik zo makkelijk mogelijk zorgen dat SMB shares niet meer, of heel lastig kunnen worden doorgelink en dan door een FTP server ( linux of windows) gebruikt kan worden

OPlossing : smbnaam, ip adress en sharnames random aanmaken ? kan onder linux maar los ik daar het probleem mee o?

vragen of mensen willen stoppen met doorlinken heeft iig geen effect.

weet iemand anders nog een handige oplossing ?

  • corani
  • Registratie: December 2000
  • Laatst online: 05-10-2017

corani

__,,,_(^_^)_,,,__

IP adres van die FTP server bannen?

Laat me nou toch eens met rust man!
Iedereen die in telekinese gelooft, steek a.u.b. mijn hand op


Verwijderd

Alleen een iprange/ipadressen toegang geven tot de shares?

edit:

Zijn die ftpservers van studenten op het intern netwerk?
blocken die handel :p

Misschien heb je hier wat aan:
http://ftp.easynet.be/sam...ring-samba.html#id2545707

[ Voor 64% gewijzigd door Verwijderd op 05-05-2004 17:35 ]


  • Belial_666
  • Registratie: November 1999
  • Laatst online: 31-01 17:34
misshien zal ik het probleem beter uitleggen

op de linux server staat samba die via SMB shares aanmaakt.

Deze smb shares worden dan bijvoorbeeld op de windows client gemaped en dan draait er op de windows client een ftp server die de hele zooi weer terbeschikking stelt aan de buitenwereld.

Verwijderd

Ik snap het probleem niet helemaal. Je mount schijven op een windows-bak, en die worden geshared via FTP. Dat wil je niet. Mount ze dan niet in je FTP-root.

  • tauri
  • Registratie: Maart 2002
  • Laatst online: 18-02 10:45

tauri

Wie dit leest is gek :P

gewoon die persoon geen toegang meer tot de shares geven als je daar achter kom...
veel meer kan je volgens mij niet doen

D3 Witch docter


Verwijderd

Ah, oh, misschien dat ik het nu beter begrijp..

Is het probleem dan huisgenoten, tegen de afspraken in, met opzet SMB shares toegankelijk maken voor FTP?

Als dat het probleem is, forget it. Wat je ook doet, er zal altijd een weg omheen zijn.

Een eenvoudige (maar niet onfeilbare) oplossing is het om alleen de gebruikersnamen toegang te geven tot de shares. FTP-servers gebruiken vaak een local account, of iig. een speciaal account. Zolang die maar geen toegang heeft..

//edit

ik bedenk me nog een andere methode, die misschien wel feilloos werkt.. gebruik squid als proxy (ook voor FTP, desnoods transparant) , en filter alle bestandsnamen die je niet wilt sharen..

[ Voor 18% gewijzigd door Verwijderd op 05-05-2004 19:41 ]


Verwijderd

tauri schreef op 05 mei 2004 @ 19:37:
gewoon die persoon geen toegang meer tot de shares geven als je daar achter kom...
veel meer kan je volgens mij niet doen
Hier sluit ik me bij aan. Voor het toegang weigeren zie mijn vorige post :P
Verwijderd schreef op 05 mei 2004 @ 19:40:

[...]

//edit

ik bedenk me nog een andere methode, die misschien wel feilloos werkt.. gebruik squid als proxy (ook voor FTP, desnoods transparant) , en filter alle bestandsnamen die je niet wilt sharen..
'Leuk' karwei alle namen toevoegen en onderhouden ;) Dit zou trouwens alleen werken op de pc's waar de ftpservers op staan en die vallen volgens mij niet onder zijn beheer :p

[ Voor 49% gewijzigd door Verwijderd op 05-05-2004 19:53 ]


  • 0siris
  • Registratie: Augustus 2000
  • Laatst online: 07-02 23:33
traffic shapen, hun download bijna dichtknijpen, wachten tot ze gaan mekkeren en dan uitleggen dat dat door hun FTP upload komt, wil ook wel helpen denk ik >:)

ach...in een volgend leven lach je er om!


  • Belial_666
  • Registratie: November 1999
  • Laatst online: 31-01 17:34
mmm lastig allemaal


idee??
wat als ik de linux server achter een proxy zet en dan de SMB-naam en de share om de dag een andere naam geef.

Dan word het dus heel moeilijk om drives te mappen onder windows omdat de computernaam en de sharenaam elkekeer anders heten :D


dat lukt denk ik niet als er linux clients gebruikt worden maar dat is dan jammer,
alle beetjes helpen

Verwijderd

Samba shares dicht gooien, en iets van sftp opzetten voor lokaal gebruik...
kan je gelijk bijhouden wie wat doet...

alleen dan moet je alles zo instellen dat men maar bij 1 directory kan...

succes overigens...

  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 19:19

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > NOS

Lijkt me nou typisch iets wat je op die linux doos moet regelen, al acht de kans op een afdoende werkbare oplossing klein.

Tijd voor een nieuwe sig..


  • smokalot
  • Registratie: Juni 2001
  • Laatst online: 15-01 22:00

smokalot

titel onder

hoe komen die lui normaal gesproken op je samba-shares dan?

Lijkt mij dat als je iemand toegang geeft tot je SMB-share, die persoon's ftp server daar ook automatisch toegang toe heeft, en het is aan die persoon om accounts uit te delen op zijn ftp server, en there's not a damn thing you can do about it...

lijkt mij dat je de abusende gebruikers aanspreekt op hun gedrag, en als dat geen effect heeft sluit je ze gewoon af. Hoe weet je trouwens dat ze hun mounted SMB-share geshared hebben via ftp?

It sounds like it could be either bad hardware or software


Verwijderd

Verwijderd schreef op 05 mei 2004 @ 19:44:
'Leuk' karwei alle namen toevoegen en onderhouden ;) Dit zou trouwens alleen werken op de pc's waar de ftpservers op staan en die vallen volgens mij niet onder zijn beheer :p
a) het toevoegen van bestandsnamen kun je gewoon automagisch doen met een scriptje

b) als je maar een linux server ergens tussen die FTP server en het internet hebt zitten, werkt dit al.

  • Gerco
  • Registratie: Mei 2000
  • Laatst online: 20-02 03:31

Gerco

Professional Newbie

Wat is erop tegen om op je SMB server gewoon het IP adres van de FTP server die je shares "illegaal" mapt te bannen? Heel vervelend dat je huisgenoot dan niet meer bij je SMB shares kan komen, maar dat heeft 'ie dan helemaal aan zichzelf te danken.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!


  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 30-01 13:59
gewoon idd. een weekje/maandje je SMB traffic monitoren, klojo's erop aanspreken
en als ze niet luisteren: bannen die hap.

Compromises are for the weak


  • djc
  • Registratie: December 2001
  • Laatst online: 08-09-2025

djc

Lijkt me dat je zoiets in een studentenhuis ook gewoon kunt bespreken.

Rustacean


  • usr-local-dick
  • Registratie: September 2001
  • Niet online
Er was ooit eens een topic over hetzelfde probleem.
Degene die de boel beheerde zat alleen maar te denken in technische maatregelen en allerlei handige foefjes te bedenken.
Het kwam erop neer dat hij niet de ballen had om mensen aan te spreken op hun gedrag. Beetje sociaal probleem ipv technies.
No pun intended maar ik signaleer dat dit een typisch computernerd kwaaltje is ;)

Verwijderd

Een aantal dingen die je kunt doen:

1) zorg dat je een upstream firewall beheert, en blokeer inkomend poort 21
2) trap die eikels van je samba server af
3) doe anders samba tussen je server en je clients shapen naar 1KB/s oid

etcetc, eigk is er al met al idd weinig aan te doen, al bovenstaande methodes zijn zonder al teveel moeite te omzeilen, mits je weet hoe. Spreek je huisgenoten er anders op aan en laat ze eens wat lezen over operatie fastlink (van een week of wat geleden, dat ze warez groeperingen opppakte). Bak daar een mooi verhaal omheen en maak ze bang. Dat werkt meestal effectiever dan welk technisch middel dan ook.

  • Aapzak
  • Registratie: November 2000
  • Laatst online: 08-01 15:23

Aapzak

Your genuine OS hopper

1) lol @ r3boot's serverfarm

2) ben je al iets verder met die gasten? Inderdaad aanspreken op hun gedrag en als ze niet luisteren gewoon afstoten als gebruikers van je shares.

PSN ID: Aapzak


  • Belial_666
  • Registratie: November 1999
  • Laatst online: 31-01 17:34
het probleem is dat het 300 man is en ik ze dus niet allemaal ken :)

het is een studentenflat met 1 gedeelde server. Aanspreken is idd de beste oplossing maar dat zal helaas niet gaan


Dit is wat ik nu bedacht heb

Het idee is nu dat als je iets van FileServer wil halen je een wachtwoord moet intypen. dit wachtwoord staat op een html pagina die ook op FileServer staat.

oude opbouw:

FileServer\

\Film
\mp3
\series

nieuwe opbouw

FileServer\Shared\

\Film
\mp3
\series
pass.txt

in de root van FileServer staat 1 share en 1 html link. Deze heet "shared". Op deze share zit een wachtwoord. Dit wachtwoord staat op een html pagina.

Nu moet er een scriptje komen dat onder Linux draait dat het volgende doet.

1: create random number en schrijf weg naar textfile
2: smbpasswd -user -pass, password uitlezen uit txt file

dit scriptje draait als cron.d om de dag of week ofzo

ik kan dan mbv php die txt file uitlezen en deze in een html pagina zetten.

  • smokalot
  • Registratie: Juni 2001
  • Laatst online: 15-01 22:00

smokalot

titel onder

ik snap nog steeds niet helemaal waarom je zo moeilijk doet, als je een HTML pagina laat lezen door iedereen kun je toch net zo goed een HTML pagina maken voor iedereen waarop staat dat als je abuset je dan afgesloten wordt?

Dat communiceren hoeft echt niet van jou uit te gaan hoor, als jij ze afsluit komen zij wel bij jou (of niet, dat is ook prima toch?)

moet je nog wel een manier vinden om trafic bij te houden, zou zo 123 niet weten hoe je dat moet aanpakken, maar dat weet google vast wel.

It sounds like it could be either bad hardware or software


  • Belial_666
  • Registratie: November 1999
  • Laatst online: 31-01 17:34
En als ik mensen moet gaan afsluiten dan moet ik gaan bijhouden wie wat doet met welk IP of met welke SMB naam. Daar gaat veel te veel werk in zitten.

Er word met DHCP gewerkt, kan ik niet veranderen dus moet ik met MAC adressen gaan werken maar die kan je weer aanpassen enz enz enz....

[ Voor 33% gewijzigd door Belial_666 op 08-05-2004 01:23 ]


Verwijderd

En een proxy ertussen zetten is onmogelijk?

  • Aapzak
  • Registratie: November 2000
  • Laatst online: 08-01 15:23

Aapzak

Your genuine OS hopper

Ken je wel de IP's en MAC addressen van je boosdoeners?

Je zou een algemeen mailtje naar alle gebruikers kunnen sturen waarin je het probleem uitlegt. Je geeft daarin ook aan dat je weet wie het zijn en dat je maatregelen neemt als het niet ophoudt.
Maarregelen kunnen bestaan uit personen bannen, of gewoon helemaal kappen met die shares. Dat kan je aan je publiek voorleggen.

Helaas is het vaak zo dat juist die personen die zich misdragen maling hebben aan een maatregel die een onschuldige groep treft, dus zou ik toch liever personen bannen aan de hand van MAC addressen dan de hele share opheffen.
Maar als het echt een probleem zou worden waar ik vanaf zou willen, zou ik gewoon de stekker eruit trekken.

edit: als je niet verteld hoe je bant, komen ze misschien ook niet op het idee om MAC address te spoofen.
En daarbij ... je ziet weer misbruik .. zet je het nieuwe MAC address toch gewoon weer in de db? Met een goede frontend is dat zo gebeurt.

[ Voor 16% gewijzigd door Aapzak op 11-05-2004 14:07 ]

PSN ID: Aapzak


Verwijderd

Verwijderd schreef op 05 mei 2004 @ 23:24:
[...]


a) het toevoegen van bestandsnamen kun je gewoon automagisch doen met een scriptje
Klopt als een bus :D
Verwijderd schreef op 05 mei 2004 @ 23:24:
b) als je maar een linux server ergens tussen die FTP server en het internet hebt zitten, werkt dit al.
Verwijderd schreef op 08 mei 2004 @ 01:27:
En een proxy ertussen zetten is onmogelijk?
Zover ik het begrijp kan TS er geen proxy tussen zetten omdat alle andere ~300pc's zelf via een andere server of direct op internet komen en niet via de fileserver dus als iemand geen proxy instelt werkt het al niet meer, maar kan wel nog steeds alles flikken.
Als de pc's wel via de fileserver op internet komen is het maar een kwestie van de doorgestuurde poorten naar de ftpservers te blocken kunnen ze nix meer met ftp.

[ Voor 29% gewijzigd door Verwijderd op 11-05-2004 18:32 ]


Verwijderd

Verwijderd schreef op 11 mei 2004 @ 18:29:
Zover ik het begrijp kan TS er geen proxy tussen zetten omdat alle andere ~300pc's zelf via een andere server of direct op internet komen en niet via de fileserver dus als iemand geen proxy instelt werkt het al niet meer, maar kan wel nog steeds alles flikken.
Als de pc's wel via de fileserver op internet komen is het maar een kwestie van de doorgestuurde poorten naar de ftpservers te blocken kunnen ze nix meer met ftp.
Nee, clientside hoeft er niets voor ingesteld te worden. Ik stel dit voor:

Internet/Intranet ----> transparante proxy --> FTP Server

Doordat je de proxy transparant draait, heeft de user geen keuze of ie 'm wel of niet wil gebruiken. Enige voorwaarde hiervoor is dat je fysiek toegang hebt tot de FTP server.

  • cool_zero
  • Registratie: Juni 2001
  • Laatst online: 25-10-2022
Aapzak schreef op 11 mei 2004 @ 14:06:
Ken je wel de IP's en MAC addressen van je boosdoeners?
Dit is dus niet makkelijk te achterhalen zei hij al, omdat je met 300 mensen zit, dus dat wordt dan leuk de logs doorkijken naar mensen die dubbele dingen downloaden.

Maar even een ander puntje:
Van buitenaf lijkt het of die persoon die de share mount en doorshared via ftp deze bestanden heeft. Daarnaast kost het hem twee keer zoveel verkeer aangezien al dit vekeer er bij hem ingaat en ook nog eens uitgaat. Dus waarom zoveel moeite doen :P

Dat met die passwords gaat ook niet werken, want als er eenmaal gemount is met het juiste password dan blijft de verbinding gewoon bestaan. Daarnaast zou je hier makkelijk een scriptje voor kunnen schrijven.

oplossingen moet je zoeken in de volgende gebieden:
-Je weet van mounts dat ze soms niet actief zijn(geen filetransfer) Deze verbindingen kun je na een bepaalde timeout gewoon verbreken.
- Binnen een lan-netwerk weet je ook dat iedereen een bepaalde snelheid minimaal haalt. Ftp gebruikers zijn meestal langzamer. Hierop zou je kunnen filteren. Dit kan echter niet in samba. Een omweg om dit te bereiken is een programma dat wel een minimumsnelheid van het ophalen van een file kan vaststellen(ftp server ofzo). Deze dan lokaal te mounten naar een nieuwe map en die map dan te sharen met samba. Helaas ken ik geen ftp-server die per file limiteert, alleen maar per client-connectie(en dan wordt de hele share geblokkeerd, met iedereen die aan het downloaden was).

De oplossing :P
Maak een share in samba met daarin links(lege bestanden) van wat je op je ftp server hebt staan en installeer openftp met een minumum download(min_dl ). Verwijs iedereen door naar je ftp server.

  • boer Krelis
  • Registratie: Maart 2000
  • Niet online

boer Krelis

Artificial Ignorance

En als je nou gewoon geen SMB gebruikt? Sowieso een kloteprotocol (of lag het aan mij dat ik nooit kan resumen?).
Gebruik een protocol dat in Windows niet standaard te mappen is naar een driveletter of pad.
Met linux (lufs, ftpfs) kom je hier natuurlijk wel omheen als stouterd. Maar hoeveel van die lui draaien Linux?
En de files delen via HTTP? Niet elegant, maar wel moeilijk te mappen voor de FTP-servers van de stouterds.

Quoten is geweldig... - boer Krelis

Pagina: 1