Samba

Настройка доступа с определённых хостов

hosts allow = 10.0.0.57 10.0.0.213 hosts deny = 10.0.0.

Тут мы разрешаем доступ к ресурсу с хостов 10.0.0.57 и 10.0.0.213, но запрещаем доступ c любых других хостов (10.0.0.*) из той же подсети (10.0.0.0/24).

Порядок рассмотрения директив hosts allow и hosts deny

1. Если опции allow или deny не определены в конфигурации smb.conf, то Samba разрешает подключение от любой системы;

2. Если опции allow или deny объявлены в секции [global] конфигурации smb.conf, то они определяют доступ к самому серверу, даже если в других секциях для общих ресурсов указаны другие настройки;

3. Если для общего ресурса определена только опция hosts allow, то ресурс разрешено использовать только тем, кто в списке разрешённых хостов. Всем остальным доступ закрыт;

4. Если для общего ресурса определена только опция hosts deny, то любой клиент не указанный в списке может использовать общий ресурс;

5. Если опеределены обе опции, то первым проверяется список разрешённых хостов, а вторым список запрещённых. Если хост указан в разрешающем списке и в запрещающем списке, то запрет игнорируется. Но если хост не указан ни в разрешающем списке, ни в запрещающем, то ему даётся неявное право на доступ к ресурсу.

Частые ошибки

Поставлена задача разрешить всем хостам из сети 11.22.0.0/16 доступ к ресурсу на файловом сервере (ФС), но при этом запретить доступ всем хостам из сети 1.22.33.0/24. Эту задачу пытаются решить так:

hosts allow = 11.22. hosts deny = 11.22.33.

Получаем вот это!

В данном случае, хосты 11.22.33.*, которые для ФС также принадлежат подсети 10.22.0.0/16 получат доступ к ресурсам Samba. Запрещающий список в данном случае полностью игнорируется потому что он является частью разрешённого списка.

Для разрешения доступа всем хостам из сети 11.22.0.0/16 за исключением тех, которые находятся в сети 11.22.33.0/24 используется следующая форма записи разрешающего списка:

hosts allow = 11.22. EXCEPT 11.22.33.

Поддержите проект, если он помог вам

Проект продвигается за счёт личных средств и времени авторского коллектива. Если вы нашли здесь то, что искали, то вы можете выразить свою благодарность финансово. Даже небольшой платёж помогает авторам в их труде, сохраняя их вовлечённость и высокую мотивацию чтобы строить открытый мир равных возможностей для всех неравнодушных людей вокруг.