Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: CIF 30 Května 2013, 15:51:53
-
Ahoj,
rád bych se zeptal, zda je možné nějak nakonfigurovat Sambu tak, aby z určité adresy umožňovala přístup pouze přes určité síťové rozhraní. Moje konfigurace vypadá asi takto:
2 PC + router
Server i PC mají 2 eth rozhraní
Server eth0 - připojen do routeru
Server eth1 - připojen k PC
PC eth0 - připojeno do routeru
PC eth1 - připojeno k Serveru
Na PC prohlížím filmy přímo ze samba share (přímé propojení 1 GB/s linkou se serverem) a nechci, aby toto vytěžovalo zbytečně router. Ostatní počítače v síti jsou připojeny k routeru a nejsou propojené přímo se serverem a potřebují k Samba sharům přistupovat přes Server-eth0 (z některých sem tam stahuju opět i filmy - tedy využívám stejný share).
Díky moc za pomoc
-
No zkusil bych pro propojení mezi serverem a PC použít jiné lokální adresy.
Příklad:
Např router má adresu: 192.168.1.1 maska 255.255.255.0
Srever eth0: 192.168.1.2 maska 255.255.255.0
PC eth0: 192.168.1.3 maska 255.255.255.0
Srever eth1: 192.168.2.2 maska 255.255.255.0
PC eth1: 192.168.2.3 maska 255.255.255.0
V PC bych doplnil do /etc/hosts řádek:
192.168.1.2 server
192.168.2.2 filmya podle toho bych nastavil i připojení pro sambu.
Na Server pak z PC máš dva přístupy: 1. přes router pomocí jména server (192.168.1.2) a přímo pomocí jména filmy (192.168.2.2).
Adresy a jména počítačů si pozměň podle svého, jedině dodrž aby to byly dvě sítě. Musí se lišit v rámci masky, nejlépe ve třetím čísle.
Kdysi dávno jsem něco podobného dělal pro okna, snad to bude fungovat i v Ubuntu (Linuxu) nebo bude mít někdo lepší nápad.
-
iptables :)
-A INPUT -s 89.218.52.118/32 -p tcp -m conntrack --ctstate NEW -m tcp --dport 5666 -j ACCEPT
^^ tohle povoluje pristup z vyse uvedene adresy na port 5666
to co pise *Myrmica je blbost (sorry) .. to je proste ceska vynalezavost stylem pat a mat ;)
-
No ten můj výmysl pochází z doby, kdy ve windows si člověk mohl nastavit IP adresy s maskou a to bylo všechno ;). Firewaly a podobný software byl pouze za peníze, k internetu se připojovalo vytáčenou linkou přes modem a Windows 95 byly žhavou novinkou. A znáte to jakmile člověk něco vymyslí, tak už je línej vymýšlet něco nového, i když je řešení staré bez mála 20 let.... :D
-
Ahoj, díky za obě rady.
Právěže jsem uvažoval, jestli je dobrý nápad "zaříznout" port - protože tímpádem nevím, jestli se Wokýnkový PC nebude pokoušet připojovat i na zaříznutou adresu (přes router) - a tímpádem milion chyb a sdílení v ***. Pokud vím, v oknech se nedá připojit na Sambu přes IP, jenom přes name, nebo se pletu?
Jinak 2 různé subnety tam budou určitě, nepovažuji za dobrý nápad konfigurovat dvě v podstatě oddělená síťová prostředí do jednoho subnetu ...
-
v mem prikladu to neni, ale samozrejme tam muzes pridat `-i $iface' .. pokud mas spravne nakonfigurovany firewall pro sva rozhrani, tak se nemusis ani tak moc starat jak ta aplikace bezi a na cem .. tedy na 0.0.0.0
---
jsem premejslel jestli to odklepnu pac to neni zcela zodpovedny pristup :D .. rozhodne ne *insane security
-
Jasný, vím, že se v iptables dá použít i interface. Spíš jde o to, že PC pro přehrávání filmů musí být Windows (kdyby bylo po mém, je tam Ubuntu a share přes NFS, ale bohužel to nejde ...). Takže spíš jsem přemýšlel, pokud Windowsy uvidí 2 IP pro jediný stroj, jestli si nebude vybírat "náhodně" a tímpádem nebude při sdílení docházet k chybám, když bude jedna z těch 2 IP zaříznutá (a Windows to v podstatě nemá jak zjistit - kromě chyb).
Jinak vše běží v local segmentu, takže nějaká super security není třeba ;-)
Promiň, já vím, jsem hrozně otravný a málo toho vím - ale proto se chci co nejvíce dozvědět :-) tak mě prosím nekamenujte.
-
ale proc to mas tak hloupe ? uz jsem se v tom ztratil .. proc proste nemas za routerem jednu sit ? proc je server pripojen zaroven k routeru a zaroven s pc
-
*ntz_reloaded, jestli jsem to dobře pochopil, má druhou síť - přímé propojení server - PC kvůli tomu, aby velký přenos dat mezi serverem a PC nezatěžoval první lokální síť, která má nižší průchodnost, viz první příspěvek.
No trochu jsem na to koukal a při stávajícím nastevení by šel využít forwarding na PC .... Nadefinovat brány jedna k serveru, druhá ostatní...
-
Ahoj,
přesně jak píše Myrmica. Mám router se 100Mb/s switchem, přes který tahat 3D filmy ve Full HD ... nic moc. Navíc serever přes tento router poskytuje i nějaké služby ven, které by mým sledováním filmů nemělý být omezeny. Proto mi přišlo poměrně inteligentní, prpojit toto PC se serverem přes extra síťové karty (1Gb/s), aby nedocházelo k naprosto zbytečnému zatěžování routeru.