レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C6 S6

OpenVPN 上で Samba を使うための設定

2013年1月15日 2015年5月14日
virtual lan opnevpn samba

以下の記事で Samba の設定、OpenVPN の設定を行ってみました。

今回は、両者を組み合わせて、VPN(仮想プライベートネットワーク)を介して Samba を使ってみようと思います。

Samba自体のセキュリティは、非常に甘いというか インターネット上では、そのまま利用するのは危険極まりないです。
そこでよく利用されているのが OpenVPN + Samba です。これ以外にも SSLトンネル + Samba の組み合わせもありますが、OpenVPNの方がよりセキュアだと思います。( SSL 認証 の仕組みと OpenVPN の認証の仕組み 参照。 )

そこで、今回は、OpenVPN + Samba でファイル共有を行う場合のSambaの設定の違いなどを簡単に解説しています。

Samba (サンバ) は、
マイクロソフト社のWindowsネットワークを実装したフリーソフトウェア。 Linux、Solaris、BSD 、Mac OS Xなどの UNIX 系 OS を用いて、Windows のファイルサーバやプリントサービス、ドメインコントローラ機能、ドメイン参加機能を提供する。
出典 : http://ja.wikipedia.org/wiki/Samba

OpenVPN 上で Samba を使うための設定

今回は、OpenVPN 上で Samba を使うので、IPアドレスをOpenVPN 上で割り振られたIPアドレスを使用することになります。

そこで、まずは、Samba を使ってファイル共有してみる での設定条件の違いを確認しておきましょう。
以下は、その違いを記載したものです。

ここでの設定条件は、以下のとおりとします。
  • Sambaでログインユーザ名 : smb-user
  • Sambaでログインユーザの主グループ名 : smb-user
  • Sambaで書き込み可能なグループ名 : sambaw
  • Sambaでログイン可能なIPアドレス : 192.168.1.xxx10.8.0.xxx

    ここでは、OpenVPN を使って仮想LAN接続してみるのOpenVPNの設定のまま、OpenVPNのネットワークを 10.8.0 とします。

  • Sambaで共有するディレクトリ : /var/samba
  • Sambaで共有するディレクトリの公開名 : public
  • Sambaデーモンを起動するサーバー : 192.168.1.9910.8.0.1

    ここでは、OpenVPNのサーバー上にSambaも起動するものとします。そのためOpenVPNサーバーのIPアドレス 10.8.0.1が、そのままSambaのIPアドレスとなります。

  • SambaへアクセスするWindowsクライアント : 192.168.1.3310.8.0.30

    実際には、OpenVPN を使って仮想LAN接続してみるのOpenVPNの設定では、クライアントのIPアドレスは、自動で割り振るように設定してあるので、 10.8.0.30とは限りませんが、ここでは便宜上、10.8.0.30とします。

設定の違いは、上記のとおりIPアドレスだけです。Sambaの設定の変更点も非常に簡単です。

SambaへのアクセスをOpenVPNのネットワークからのアクセスだけ許可する
ように変更するだけです。

では、早速、Sambaの設定を行ってみます。

Sambaへアクセスを許可するホストをOpenVPNのネットワークとする

Sambaの設定は、/etc/samba/smb.conf で行います。
以下は、Samba を使ってファイル共有してみる の設定例の変更箇所を抜き出したものです。

/etc/samba/smb.conf

84
85
86
87
88
89
90
91
92
93
94
95
96
97

...
        server string = Samba Server Version %v

;       netbios name = MYSERVER

;       interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24
       interfaces = 10.8.0.0/24
        # rep allow hosts
;       hosts allow = 127. 192.168.12. 192.168.13.
#        hosts allow = 127. 192.168.1.
        hosts allow = 127.0.0.1 10.8.0.0/24

...

この文字色が編集箇所になります。

  • 90 行目 : Sambaが使用するネットワークを指定します。

    10.8.0.0/24 : Sambaで使用するデフォルトのネットワークインターフェイスを 10.8.0 に上書きします。


  • 92 – 93 行目 : SambaにアクセスできるホストをIPアドレスで指定します。

    hosts allow = 127.0.0.1 10.8.0.0/24: ここでは、127.0.0.1 or 10.8.0 のネットワークからのアクセスを許可するように設定しています。



Sambaのポートを OpenVPNのネットワークだけに 開く

Sambaで使用するTCPポートを OpenVPNのネットワークだけに 開きます。 ここでは、445 のみをiptables で開きます。


# 以下は、以前のイメージですべてのアクセスに対していオープンしていました。
# iptables -A INPUT -p tcp --dport 445 -j ACCEPT
# これを以下のように入りのネットワークに制限を加えます。
$ iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 445 -j ACCEPT
$ /etc/rc.d/init.d/iptables save
$ /sbin/service iptables restart
iptables: ファイアウォールルールを消去中:                  [  OK  ]
iptables: チェインをポリシー ACCEPT へ設定中filter         [  OK  ]
iptables: モジュールを取り外し中:                          [  OK  ]
iptables: ファイアウォールルールを適用中:                  [  OK  ]

Sambaデーモンを再起動する

最後にSambaデーモンを再起動します。

# Sambaデーモンを再起動します。
$  /etc/init.d/smb restart
SMB サービスを停止中:                                      [  OK  ]
SMB サービスを起動中:                                      [  OK  ]
nmb は、起動していないことに注意してください。
ここでは、Direct Hosting of SMBを利用していますので、NetBIOSの nmb を起動しなくても良いはずです。

Windowsからアクセスしてみましょう

サーバー側の設定を終えたら、Windowsから公開されているディレクトリをアクセスしてみましょう。

わかりやすいようにコマンドプロンプトからアクセスしてみます。

# Sambaサーバーの公開IPアドレスへpingを発行してます。
C:\>ping 192.168.1.99

192.168.1.99 に ping を送信しています 32 バイトのデータ:
192.168.1.99 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.1.99 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.1.99 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.1.99 からの応答: バイト数 =32 時間 <1ms TTL=64

192.168.1.99 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 0ms、最大 = 0ms、平均 = 0ms

# SambaサーバーのOpenVPN IPアドレスへpingを発行してます。
C:\>ping 10.8.0.1

10.8.0.1 に ping を送信しています 32 バイトのデータ:
10.8.0.1 からの応答: バイト数 =32 時間 <1ms TTL=64
10.8.0.1 からの応答: バイト数 =32 時間 =2ms TTL=64
10.8.0.1 からの応答: バイト数 =32 時間 =1ms TTL=64
10.8.0.1 からの応答: バイト数 =32 時間 =1ms TTL=64

10.8.0.1 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 0ms、最大 = 2ms、平均 = 1ms

# Sambaサーバーの公開IPアドレス+公開ディレクトリで直接アクセスしてみます。
C:\>dir \\192.168.1.99\public\
ネットワーク パスが見つかりません。

# SambaサーバーのOpenVPN IPアドレス+公開ディレクトリで直接アクセスしてみます。
C:\>dir \\10.8.0.1\public\
ユーザー名またはパスワードが正しくありません。

# Sambaサーバーの共有ディレクトリへ接続します。
C:\>NET USE \\10.8.0.1\public
'10.8.0.1' のユーザー名を入力してください: smb-userreturn
10.8.0.1 のパスワードを入力してください:****return
コマンドは正常に終了しました。


# ユーザ、パスワードに誤りがなければ正しく接続できていますので、DIRコマンドでファイル一覧を出力してみます。
C:\>dir \\10.8.0.1\public\
 ドライブ \\10.8.0.1\public のボリューム ラベルは public です
 ボリューム シリアル番号は 7811-2E91 です

 \\10.8.0.1\public のディレクトリ

2012/11/16  04:06    <DIR>          .
2012/11/15  19:48    <DIR>          ..
2012/11/16  03:39                 3 test2.txt
2012/11/16  03:18                 4 test.txt
               2 個のファイル                   7 バイト
               2 個のディレクトリ  46,239,563,776 バイトの空き領域

# Sambaサーバーの共有ディレクトリへ接続を解除します。
C:\>NET USE \\10.8.0.1\public /delete
\\10.8.0.1\public が削除されました。

C:\>

公開IPアドレス:192.168.1.99 へpingはとおりますが、共有ドライブへはだんまりとなって、最後に、「ネットワーク パスが見つかりません。」と出力されます。 つまり、iptablesでの接続が拒否されているのがわかります。

仮にSamabで拒否された場合、「指定されたサーバーは、要求された操作を実行できません。」などとエラー出力されるでしょう。
参考までに iptablesが効いていない場合に net use コマンドを発行すると以下のようになります。

C:\>NET USE \\192.168.1.99\public
システム エラー 58 が発生しました。

指定されたサーバーは、要求された操作を実行できません。

簡単ですね。
もっとも簡単なのは、hosts allow を変更するだけでもOKのはずですが、少しでもセキュリティアップのために、3重に設定しています。

ここまで、やっておくとインターネット上でも使えなくはないかなぁと思います。お試しあれ。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

Samba を使ってファイル共有してみる

以下の記事で WebDAVを使ってファイル共有を行ってみました。 apache で WebDAVを使ってファイル共有してみる ngi ...

WindowsでOpenVPNへのクライアント接続を自動化する

ここまで、以下のようにOpenVPNおよびSambaに関して記事を書いてきました。 Samba を使ってファイル共有してみる ...

CentOS,ScientificLinuxでLAMP(Apache+MySQL+PHP)インストールからWordpressを動かすまで(Apache編)

今回は、最短でLAMPインストールし、Wordpressを動かすまでの手順について解説してみたいと思います。 とりあえず、Cent ...

Postfix で 外部からメールを送信できないときにチェックすること

今回は、Postfixで外部からメールを送信できないときにチェックすることについて書いてみます。 外部といっても、一般的には、Window ...

評判のCloudCore VPSを使うときに最初にやっておきたいこと(CentOS編)

以前の記事「評判のKDDI CPIのVPS ( CloudCore ( クラウドコア ) VPS ) を使ってみた」で KDDI C ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2247 [s]