[MASOCH-L] Servidor de Arquivos - Intra e extranet

Rafael Possamai rafael at gav.ufsc.br
Wed Apr 9 14:27:19 BRT 2014 

Rodrigo,

Agora entendo um pouco mais sobre seu caso, e parece mesmo mais complicado
do que imaginei. Voce teria que conversar com o pessoal do data center da
universidade caso queira implementar um firewall/nat fisico.

A sugestao do Douglas tambem eh muito boa, o ownCloud funciona muito bem
pelo meu ver. Tenho uma implementacao deste sistema rodando em teste agora,
se voce quiser posso criar uma conta por alguns dias para que tenha ideia
de como funciona, mas ai pediria que evitasse transferir arquivos de
propriedade intelectual da faculdade para evitar problemas. Qualquer coisa
me da um toque.


Grato,
Rafael



2014-04-09 10:58 GMT-05:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Mais uma vez recomendo dar uma olhada no OwnCloud.
>
>
> Em 9 de abril de 2014 12:14, Rodrigo Ribeiro <rodrigo at rodrigo.org>
> escreveu:
>
> > Olá Rafael,
> >
> > Suas orientações são muito pertinentes. Muito obrigado pelas colocações.
> >
> > Eu sou da Diretoria de Informática da Universidade e somos ligados à RNP.
> >
> > Sendo da diretoria, eu quem administro o IPS (FORTIGATE) da rede e este
>> > faz diversos bloqueios da rede externa para interna.
> >
> > Acontece que este servidor está posicionado na rede de uma forma que não
> me
> > permite colocar um FW na frente dele e ele usa ip válido. Está no
> > DataCenter da Universidade...
> >
> > Por isso a VPN não é possível, por não ter IP válido suficiente.
> >
> > No IPS eu vou bloquear tudo de fora, com exceção da porta do serviço
> > externo.
> >
> > A máquina também tem iptables bloqueando diversas coisas, com regras bem
> > criticas.
> >
> > Estou lendo sobre como fazer a autenticação usando o samba, pois facilita
> > com relação à permissão de pastas e localmente, é ótimo para acesso dos
> > usuários.
> >
> > Abraços
> >
> >
> >
> > Em 7 de abril de 2014 13:22, Rafael Possamai <rafael at gav.ufsc.br>
> > escreveu:
> >
> > > Acho que todas as sugestoes dadas aqui sao validas, e nao vou sugerir a
> > > mesma coisa pra evitar repetir, mas um comentario mais especifico ao
> > > Rodrigo: evite utilizar o seu IP publico nas maquinas que rodam
> servicos
> > > delicados como storage/samba para sua rede interna. Ainda mais em
> > faculdade
> > > onde geralmente se tem link sobrando (eu por exemplo tenho acesso a
> > 1gbps,
> > > mesmo nao precisando disso tudo para rodar meia duzia de sites) e muita
> > > gente fica de olho em servidor com vulnerabilidade pra utilizar essa
> > banda
> > > em ataques DoS etc. Qualquer vulnerabilidade no seu setup poderia
> abrir a
> > > sua rede interna para um ataque ou infiltracao.
> > >
> > > Outra coisa tambem eh evitar com que documentos importantes (teses de
> > > mestrado e doutorado que nao foram divulgadas) vazem para fora da
> > faculdade
> > > sem ninguem ficar sabendo, o que poderia acarretar em perdas
> astronomicas
> > > caso alguma patente seja quebrada.
> > >
> > > O jeito que eu faco (vide endereco de email com nome de universidade)
> eh
> > > pedir para o pessoal de redes da faculdade (se for federal, fale com
> > algum
> > > bosista do PoP da RNP) bloquear no seu IP portas de entrada que voce
> nao
> > > precisa (email, IRC e etc por exemplo). Depois voce pode colocar todos
> os
> > > seus servicos atras de NAT, lhe dando a oportunidade tambem de filtrar
> > > todos os pacotes que entram e saem da sua rede.
> > >
> > > Um jeito simples de fazer isso eh pegar qualquer maquina velha em algum
> > > laboratorio ai (sempre pedindo antes, se nao um dia ela some do lab e
> > voce
> > > nao sabe por que hahaa), por 2 placas de rede nela, e usar o IP fixo
> numa
> > > das placas, e na outra escolher um IP nao registrado, estilo
> 192.168.0.1.
> > >
> > > Depois disso voce monta um firewall e configura NAT, para que as
> maquinas
> > > de dentro da rede possam se comunicar com a internet.
> > >
> > > Eu dei uma lida rapida nesta thread, entao caso voce ja esteja fazendo
> > > isso, nem de bola para o email. Caso contrario, fica aqui a dica. E se
> > voce
> > > caro colega precisar de ajuda, faco questao de me disponibilizar como
> > > voluntario para que seu projeto na faculdade seja um sucesso e que
> todos
> > > utilizem um sistema seguro e confiavel.
> > >
> > >
> > > Abraco,
> > > Rafael
> > >
> > >
> > >
> > >
> > >
> > > 2014-04-07 7:44 GMT-05:00 Ulisses Antonio Donato - Pro UP <
> > > ulisses at proup.com.br>:
> > >
> > > > Olá Rodrigo,
> > > >   a Wiki do Samba descreve o processo com detalhes (
> > > > https://wiki.samba.org/index.php/Local_user_management_and_
> > > > authentication/sssd ou
> http://wiki.samba.org/index.php/Samba4/Winbind)
> > > >
> > > > Se você utiliza as distribuições mais novas da Fedora, o melhor é
> > > utilizar
> > > > o utilitário authconfig.
> > > >
> > > > Ulisses Antonio Donato
> > > > e-mail: ulisses at proup.com.br
> > > >
> > > >
> > > >
> > > >
> > > > -------- Mensagem original --------
> > > > Assunto: Re: [MASOCH-L] Servidor de Arquivos - Intra e extranet
> > > > De: Rodrigo Ribeiro <rodrigo at rodrigo.org>
> > > >
> > > > Para: Mail Aid and Succor, On-line Comfort and Help <
> > > > masoch-l at eng.registro.br>
> > > > Data: Domingo, 6 De Abril De 2014 18:12:24
> > > >
> > > >
> > > >  Olá Ulisses,
> > > >>
> > > >> Você teria um site com exemplo de configuração?
> > > >>
> > > >> Abraços
> > > >>
> > > >>
> > > >> Em 5 de abril de 2014 14:00, Ulisses Antonio Donato - Pro UP <
> > > >> ulisses at proup.com.br> escreveu:
> > > >>
> > > >>  Lucas,
> > > >>>          aqui eu utilizo o sFTP autenticando no Samba. As
> permissões
> > de
> > > >>> pastas dadas ao Samba são utilizadas automaticamente pelo sFTP.
> > > Funciona
> > > >>> tanto no Samba 4 como AD Controller quanto no Samba 3.
> > > >>>
> > > >>>
> > > >>> Ulisses Antonio Donato
> > > >>> ulisses at proup.com.br
> > > >>>
> > > >>>
> > > >>>
> > > >>> -------- Mensagem original --------
> > > >>> Assunto: Re: [MASOCH-L] Servidor de Arquivos - Intra e extranet
> > > >>> De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> > > >>> Para: Mail Aid and Succor, On-line Comfort and Help <
> > > >>> masoch-l at eng.registro.br>
> > > >>> Data: Sábado, 5 De Abril De 2014 13:19:45
> > > >>>
> > > >>>   webdav
> > > >>>
> > > >>>>
> > > >>>> Em 5 de abril de 2014 12:58, Rodrigo Ribeiro <rodrigo at rodrigo.org
> >
> > > >>>> escreveu:
> > > >>>>
> > > >>>>  Caros amigos,
> > > >>>>>
> > > >>>>> Meu nome é Rodrigo e sou Analista de Sistemas de uma Universidade
> > > >>>>> Federal.
> > > >>>>>
> > > >>>>> Um projeto me lançou uma tarefa que é aparentemente simples:
> > > >>>>>
> > > >>>>> Montar um servidor de arquivos com acesso local e externo.
> > > >>>>>
> > > >>>>> Daí, pensei no samba, que controla sem problemas as permissões
> nas
> > > >>>>> pastas e
> > > >>>>> é de fácil utilização para o usuário (Windows).
> > > >>>>>
> > > >>>>> Fiz o samba, está funcionando perfeito, porém, como farei esse
> > acesso
> > > >>>>> de
> > > >>>>> fora da intranet (tenho IP válido no servidor)? Pois abrir o
> samba
> > > >>>>> para o
> > > >>>>> mundo não é interessante por questões de segurança. Pensei em
> abrir
> > > um
> > > >>>>> sftp, mas aí precisaria acertar permissões nas pastas, uma por
> uma
> > e
> > > >>>>> não
> > > >>>>> sei como o samba lidaria com isso...
> > > >>>>>
> > > >>>>> Alguém sugere algo?
> > > >>>>>
> > > >>>>>
> > > >>>>> Abraços e desde já, obrigado!
> > > >>>>>
> > > >>>>> --
> > > >>>>> Rodrigo Ribeiro
> > > >>>>> rodrigo at rodrigo.org
> > > >>>>> --
> > > >>>>> __
> > > >>>>> masoch-l list
> > > >>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >>>>>
> > > >>>>>  __
> > > >>>> masoch-l list
> > > >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >>>>
> > > >>>>
> > > >>>>  __
> > > >>> masoch-l list
> > > >>> https://eng.registro.br/mailman/listinfo/masoch-l
> > > >>>
> > > >>>
> > > >>>
> > > >>
> > > >>
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Rodrigo Ribeiro
> > rodrigo at rodrigo.org
> > --
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list