[samba-jp:19022] Re: [Q] domain setup over network

[NAKAJI Hiroyuki]

>>>>> In [samba-jp] 
>>>>>	oota ＠ mail.linux.bs1.fc.nec.co.jp wrote:

> > で、OCN光だと今度は完全に透過になるので、Segment AにPDCを晒すというのは
> > 世界中からの137/UDP,138/UDP,139/TCPのドメインログオンのチャレンジを受け
> > 続けていることになるはずです。（というか、現実なっている状態のはずです）

> > 最低限、マルチホームにしたら、pfでSegment Aからの137〜138/UDPと、
> > 139/UDP,445/TCPを遮断するようにしないと危険だと思います。

> OCN光に接続するのにルータはあるんじゃないかな。
> だとすると、そこで、通常は80とか443とか53とか123を除いてほとんどブロック
> してるんじゃないかな。

> もちろんサーバの中で遮断する(IPFWとか)のは十分に有効だとは思いますが。

はい。今は、PDCはルータ兼用なので、ipfilter でその辺りのルールは書いていま
すし、[sn]mbdは、インターネット側の interface には相手しないように

[global]
    interfaces = lo0, xl0 # xl0 は内側
    ...

としています。

で、この際なので、PDC機能をルータで兼用するのを止めて、自宅内ネットワーク
を再構築して Windows 系を引っ込めようと決意した次第です。

置場所と消費電力の問題もありますが、NetBSD/cobaltとかFreeBSD/pc98とか
Solaris 10 (SPARC)とかいろいろありますので、今週末にでもやってみます。
-- 
NAKAJI Hiroyuki (中治 弘行)