[samba-jp:19027] Re: [Q] domain setup over network

Takahiro Kambe taca @ back-street.net
2006年 11月 29日 (水) 21:56:01 JST


In message <456CE531.9020202 @ samba.gr.jp>
	on Wed, 29 Nov 2006 10:41:05 +0900,
	Kensuke Nezu <nez @ samba.gr.jp> wrote:
> >>> (Source routingのオプション切ってないともっとマズいことが起きます)
> >> なんと。
> > せめて、
> > 
> > 	bind interfaces only = Yes
> > 
> > は、してなかったのでしょうか。ま、IP Filterなどでの制御をしていれば、
> > まだましだと思いますが。
もちろんbind interfaces only = Yesにすれば十分と言うつもりはありません
が、ないよりましではないかと。

> bind interfaces onlyパラメータはnmbdにのみ関わるパラメータですが、
smbd/server.cに lp_bind_interfaces_only() とか呼び出しているようですし、
実際に動作している様子から socketを特定のIPアドレスにbind(2)している様
子が確認できました。(但し、nmbdのUDPなソケットでは、特にIPアドレスに関
係なくbind(2)しているソケットもあるようです。)

> ありません。したがって、この「どのIPアドレスがどのインタフェース経由で
> きたのかが分かって、その接続許可/拒否ができるレイヤ」つまり、パケット
> フィルタのレイヤでなりすましをがっつりたたき落としておかないと、
> 困ったことが起きることになります。
まったく、その通りです。

-- 
神戸 隆博 / Takahiro Kambe



samba-jp メーリングリストの案内