Make a network drive available over the internet?
I recently built a small server machine, using Ubuntu Server and Samba, to act as a file server (among other things) so that my entire family can access certain files over the network from Windows machines. However, I would love to take this a step further and have the shares be accessible over the internet, away from home. How would I do this? I know very little about how the Windows network shares system works, so I have no idea where to start.
Nothing personal regarding the accepted answer, but while that may have technically answered your question, I would NEVER do this. You are really exposing yourself, especially if you have anything sensitive on your network. I would say the right way is to set up a simple PPTP VPN for your family to connect to, and then let them have access.
@KCotreau: There is a lot more to this question that I left out for the sake of simplicity. Let’s just say that the data that we will be exposing is not in any way sensitive. I understand and accept the security risks—I just wanted a simple answer to my specific question.
@musicfreak My concern is that it is a point of attack into other areas of computer, or even network as a whole. Obviously, you are free to do it however you want, but I still don’t recommend it unless there is nothing on the computer, at least, not just the share. A very cool book is «Hacking Exposed». It shows just how much hackers attack these protocols.
3 Answers 3
With Samba, you would have to expose TCP port 445 to the outside – usually this involves configuring «port forwarding» in your router. Additionally, you must make sure that your external IP address is pingable from the outside.
After this, you’ll be able to access the shares by entering \\youraddress in Explorer‘s address bar or in Start — Run. (Here youraddress is your server’s DNS name if you have one, or your external IP address if you don’t.)
However, if you’re trying to do this directly over Internet, there are several things to keep in mind:
- Older versions of the SMB (CIFS) protocol used by Windows file sharing does not provide data encryption (so anybody with a packet sniffer can monitor your file transfers), and its authentication is not especially strong either. SMBv3 is the first version with encryption support. You can enable it using smb encrypt = in smb.conf, but this will require Windows 8.1 or newer:
smb min protocol = SMB3_02 smb encrypt = required In short, it is really not recommended to run SMB directly over Internet; you should only do this for Samba servers that host low-risk information, and never for Windows servers.
In all other cases, the server should only be accessible over a VPN (corporate/mesh/self-hosted, not the commercial ones). For example, it really wouldn’t be much work to install WireGuard or Tailscale on your laptop.
For remote access you should strongly consider using SFTP which can be hosted using the OpenSSH server, which is usually thought to be resilient enough for use over Internet. Another alternative is WebDAV (which runs over HTTPS), e.g. it comes bundled with NextCloud.
Доступ к Samba из внешней сети
Подскажите решение.
Cервер с Samba, подключенный к локальной сети из 3 компьютеров.
Сеть смотрит наружу через роутер D-Link.
Белого IP-адреса у роутера нет.
Задача обеспечить доступ к одному единственному файлу на сервере c samba из внешней сети.
Как безопасно реализовать:
DynDNS? Можно подробно?
Спасибо
Можно найти перечень портов, которые надо пробросить для того, чтобы Самбу стало видно извне. Раньше это были UDP 137,138 и TCP 139,445. Но лучше так не делать, потому что это крайне небезопасно. Именно Самба требуется, какой-нибудь FTP или webdav не устроит?
потому что это крайне небезопасно
Спасибо.
Предполагал — поэтому и вопрос.
Предпочтительней webdav из-за возможности совместного доступа.
Но в этом случае файлы расположены в стороннем облаке?
Вариант со сторонним облаком отпадает.
Или есть возможность на своем сервере настроить?
Еще и через DynDNS?
Где искать как настроить?
FTP позволит расшарить директорию внутри шары samba’ы?
Не случится коллизий и блокировки доступа к данным?
Спасибо.
Белого IP-адреса у роутера нет.
Еще и через DynDNS?
Сначала реши проблему с отсутствием «белого» IP.
Вариант со сторонним облаком отпадает.
уточни что требуется делать с файлом ??
явно не просто читать/смотреть, если требуется изредка редактировать, то можно сделать синхронизацию файла через синх или ресилио.
в последнюю самбу конешно даже шифрацию завезли, но все равно, светить самбой наружу это как затыкать дырку в заборе собственной голой задницей.
Как вам уже написали, вашу задачу необходимо разбить на две подзадачи: организация доступа к ПК и организация доступа к самим файлам.
Для решения первой подзадачи я использовал когда-то сервис No-IP (noip.com), потому что у них был пробный халявный доступ, который, правда, требовал каждый месяц подтверждения. Регистрируетесь там, получаете учетные данные, далее настраиваете динамический DNS или на вашем сервере или на роутере, если у него есть соответствующая поддержка. У noip есть свой клиент от авторов сервиса для Linux. Лично я пользовался ddclient из репозиториев дистрибутива, работало более-менее нормально.
Для решения второй подзадачи webdav достаточно просто поднять у себя на сервере. Лично я делал это на базе Apache. Мануалов как это всё настроить с небольшим количеством телодвижений достаточно много, например — этот. Ещё, сейчас есть всякие модные owncloud и т.п., почитайте про них.
По поводу одновременного доступа к файлам из Самбы и по FTP я, увы, не специалист, может знающие люди подскажут.
Да, кстати, естественно, придётся пробрасывать требуемые для каждого из протоколов порты на роутере.
Как подключиться к сетевой папке в Windows (SMB)
На компьютерах, которые должны подключаться к общей сетевой папке, перейдите в «Изменение расширенных параметров общего доступа», для этого нажмите правой кнопкой мыши на значок сетевого соединения и нажмите «Открыть параметры сети и Интернет»:
В открывшемся окне нажмите на «Параметры общего доступа»:
На компьютерах, которые должны подключаться к общей сетевой папке, перейдите в «Изменение расширенных параметров общего доступа» и выберите опцию «Включить сетевое обнаружение»:
С недавнего времени, после очередного обновления Windows 10 в некоторых случаях перестали открываться сетевые папки. Дело в том, что теперь вход без ввода пароля нужно настраивать не только на компьютерах, где находится сетевая папка, но и на компьютерах, с которых выполняется подключение. Это довольно странное решение объясняется тем, чтобы вы случайно не подключились к папке злоумышленника и не скачали с неё вредоносное ПО. Вам НЕ НУЖНО делать настройку в gpedit.msc если вы подключаетесь к сетевой шаре по паролю. Если же вы настроили вход в общую папку без пароля, то для исправления ситуации нажмите Win+r (Пуск->Выполнить) и запустите:
Далее необходимо перейти по следующему пути «Конфигурация компьютера» → «Административные шаблоны» → «Сеть» → «Рабочая станция Lanmann»:
Теперь выставите параметр «Включить небезопасные гостевые входы» в положение «Включено»:
Этот параметр политики определяет, разрешит ли клиент SMB небезопасные гостевые входы на сервер SMB.
Если этот параметр политики включён или не настроен, клиент SMB разрешит небезопасные гостевые входы.
Если этот параметр политики отключён, клиент SMB будет отклонять небезопасные гостевые входы.
Небезопасные гостевые входы используются файловыми серверами для разрешения доступа без проверки подлинности к общим папкам. Небезопасные гостевые входы обычно не используются в среде предприятия, однако часто используются потребительскими запоминающими устройствами, подключёнными к сети (NAS), которые выступают в качестве файловых серверов. Для файловых серверов Windows требуется проверка подлинности, и на них по умолчанию не используются небезопасные гостевые входы. Поскольку небезопасные гостевые входы не проходят проверку подлинности, важные функции безопасности, такие как подписывание и шифрование SMB-пакетов отключены. В результате этого клиенты, которые разрешают небезопасные гостевые входы, являются уязвимыми к различным атакам с перехватом, которые могут привести к потере данных, повреждению данных и уязвимости к вредоносным программам. Кроме того, какие-либо данные, записанные на файловый сервер с использованием небезопасного гостевого входа, являются потенциально доступными для любого пользователя в сети. Майкрософт рекомендует отключить небезопасные гостевые входы и настроить файловые серверы на требование доступа с проверкой подлинности.»
Наконец-то, можно подключиться к общей папке (share) в локальной сети. Для этого откройте проводник и перейдите в раздел «Сеть»:
Обратите внимание на глючность этой службы — в левой части проводника мы видим 4 компьютера, а в главном разделе окна — только два.
Если вы не видите нужный компьютер, то попробуйте открыть его по прямой ссылке, например, у меня имя компьютера с сетевой папкой HACKWARE-MIAL, тогда я открываю его по ссылке \\HACKWARE-MIAL.
Примечание для Windows Server: в серверных версиях Windows даже когда разрешено подключаться без пароля, всё равно появляется окно запроса:
Достаточно ввести произвольные данные и, моём случае, сетевая папка успешно открывалась. При подключении к этой же папке с обычного Windows 10, запрос на ввод пароля не появлялся. Видимо, для сервера настроены какие-то более строгие политики.
При клике на имя компьютера вы увидите доступные сетевые папки. При переходе в папку вы увидите её содержимое:
Вы можете открывать файлы по сети, то есть не нужно предварительно копировать их на свой компьютер. Можете копировать файлы из общей папки, добавлять туда новые или удалять существующие — с сетевой папкой можно работать как с обычной локальной папкой.
В Windows сетевые папки можно сделать доступными в качестве дисков с буквой. Для этого правой кнопкой мыши кликните по слову «Сеть» и выберите пункт «Подключить сетевой диск»:
Выберите букву для диска, введите путь до папки, поставьте галочку «Восстанавливать подключение при входе в систему»:
Теперь вы будете видеть сетевую папку как диск в любом файловом менеджере:
Как подключиться с общей папке на Windows, для которой требуется ввод учётных данных
В целом процесс очень схож с подключением к незащищённой папке, но при попытке подключения появится такое окно:
Чуть выше я создал папку, для доступа к которой нужно ввести учётные данные пользователя ShareOverlord, ссылка на эту папку: \\HACKWARE-MIAL\ShareRestricted
В это окно авторизации нужно вводить имя пользователя и пароль того пользователя, который имеет права на доступ к этой папке на УДАЛЁННОМ компьютере, то есть на том компьютере, где находится эта папка с совместным доступом.
Доступ в папку ShareRestricted получен:
Смотрите такжке полное Руководство по SMB и Samba.