[发明专利]一种使用防火墙对samba访问权限控制的方法

说明书

本发明公开了一种使用防火墙对samba访问权限控制的方法，使用netfilter工具配置samba服务的访问权限，其流程如下：启动samba服务前，配置其服务协议使用的端口，配置用户登录模式，共享访问目录、权限等参数。不需要配置客户端设备ip的访问权限；使用netfilter防火墙配置工具Iptables和ebtables，在黑名单模式下增加过滤规则；在白名单模式下增加过滤规则；启动samba服务；用户设备ip地址变化，保持过滤规则不变。本发明能够直接使用设备出厂的MAC地址配置规则；过滤规则建立后，设备MAC不会变化，规则永久有效。

技术领域

本发明涉及防火墙策略技术领域，具体是一种使用防火墙对samba访问权限控制的方法。

背景技术

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件，由服务器及客户端程序构成。SMB(Server Messages Block，信息服务块)是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。

为了控制samba访问的权限，samba提供了一套基于网段/IP的黑白名单配置方法，来指定服务器允许或者禁止只有此网段/IP的用户访问共享资源。但是在一个IP地址被动态分配的网络中，用户的ip地址是存在变化的可能的，这时先前创建的规则就会失效，需要动态调整定义的IP地址，这样给软件带来很大的复杂度和配置的维护成本，此外，现有技术方案中，设备要设置静态ip或者查询动态获取ip后，才能配置访问权限的名单。一旦下线后设备ip无效。

例如专利号201510982515.0公布了一种在samba服务上进行设备鉴权的方法及系统的专利，该专利描述的是samba的鉴权方法，就是登录认证过程，他建立了一个MAC地址和客户端设备名和域名的映射关系，然后当客户端ip地址变化后，检索映射表的mac地址，调整配置文件。

有鉴于此，本发明提出了一种新的配置samba服务器的访问权限控制的方法；该方法使用linux内核的防火墙(netfliter)，将用户设备的mac地址作为规则；因为mac地址是全球唯一网络标识，所以该规则一旦生成，不需要动态调整，极大的简化了软件的复杂度。

发明内容

本发明的目的在于提供一种使用防火墙对samba访问权限控制的方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种使用防火墙对samba访问权限控制的方法，其流程如下：

(1)启动samba服务前，配置其服务协议使用的端口，配置用户登录模式，共享访问目录、权限等参数。不需要配置客户端设备ip的访问权限；

(2)使用netfilter防火墙配置工具Iptables和ebtables，在黑名单模式下增加过滤规则，规则中包括限制访问的共享用户设备mac、IP报文协议类型、端口号；

在白名单模式下增加过滤规则，规则中包括需要允许访问的共享用户设备mac、IP报文协议类型、端口号；

(3)启动samba服务；

(4)用户设备ip地址变化，保持过滤规则不变。

作为本发明的进一步方案：黑名单模式下，有两条基本规则：一条是全局的允许全部访问的规则；一条是过滤规则，即不允许个体访问的规则。

作为本发明的再进一步方案：白名单模式下，有两条基本规则：一条是全局的禁止全部访问的规则；一条是过滤规则，即允许个体访问的规则。

与现有技术相比，本发明的优点是：能够直接使用设备出厂的MAC地址配置规则；过滤规则建立后，设备MAC不会变化，规则永久有效。

附图说明