Подключиться со 2 машинки по ssh:

Запретить пинги 2-мя способами:

iptables -A INPUT -p icmp -i ens33 -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Запретить ssh соединения:
iptables -A INPUT -p tcp --dport 2100 -j DROP
Запретить все соединения
-закрыть все входящие порты
iptables -P INPUT DROP

-открыть все исходящие порты

iptables -P OUTPUT ACCEPT
Запретить все соединения кроме ssh.
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dports 2100 -s 192.168.197.157 -j ACCEPT
Запретить все соединения только по одному ip-адресу
iptables -A INPUT -p tcp -s 192.168.197.157 -j DROP
Запретить все соединения по одному ip-адресу, кроме ssh, подключиться
по ssh
iptables -A INPUT -p tcp -s 192.168.197.157 -j DROP
iptables -A INPUT -p tcp --dport 2100 -s 192.168.197.157 -j ACCEPT
Запретить диапазон ip-адресов данной подсети 255.255.255.0
iptables -A INPUT -s 192.168.1.0/24 -j DROP

Запретить диапазон портов 3000-4000 в сети 255.255.0.0

iptables -A INPUT --dport 3000:4000 -s 192.168.1.0/24 -j DROP

Cвои правила:
Ограничиваем количество не всех пакетов, а только новых, то есть мы разрешаем
открывать не более 1 нового соединения в минуту.
# Разрешаем связанные и установленые соединения
iptables -A INPUT -p tcp --dport 2100 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 2100 -m state --state NEW -m limit --limit 1/min --limit-burst 1 -j
ACCEPT
iptables -P INPUT DROP

limit — позволяет ограничить количество пакетов в единицу времени.

ESTABLISHED — пакет является частью уже существующего сеанса.
RELATED — пакет открывает новый сеанс, связанный с уже открытым
сеансом.
Практическая работа 12.1
Для синхронизации времени установим демон chrony:
apt-get install chrony
Автозапуск сервиса:
systemctl enable chrony
Настраиваем firewall iptables, открыв порты, которые использует SAMBA:
 Сохраняем правила:
apt-get install iptables-persistent
netfilter-persistent

Установка и настройка SAMBA:

 Прежде всего следует обновить локальную базу пакетов:
apt-get update

 Далее установите пакеты из главного репозитория:

apt-get install -y samba samba-client

 Создайте резервную копию файла конфигурации Samba:

cp /etc/samba/smb.conf /etc/samba/smb.conf.bak

 Создайте или выберете директорию, к которой все

пользователи будут иметь общий доступ:
mkdir -p /samba/public

 Перейдите к этому каталогу и измените режим доступа и

владельца:
cd /samba
chmod -R 0755 public

 Создайте или выберете каталог, к которому иметь доступ

будут ограниченное число пользователей:
mkdir /samba/private

 Создайте группу пользователей, которые будут иметь доступ к

приватным данным:
groupadd smbgrp

 Создайте нужных пользователей с помощью команды useradd:

useradd user1

 Добавьте созданных пользователей в группу:

usermod -aG smbgrp user1

 Измените группу, которой принадлежит приватная директория:

chgrp smbgrp /samba/private
  Задайте пароль, с помощью которого пользователь будет
подключаться к каталогу:
smbpasswd -a user1

 Откройте файл конфигурации на редактирование с помощью

текстового редактора, например nano:
nano /etc/samba/smb.conf

 Замените содержимое файла на следующие строки:

[global]
workgroup = WORKGROUP
security = user
map to guest = bad user
wins support = no
dns proxy = no

[public]
path = /samba/public
guest ok = yes
force user = nobody
browsable = yes
writable = yes

[private]
path = /samba/private
valid users = @smbgrp
guest ok = no
browsable = yes
writable = yes
Сохраните внесенные изменения, нажав CTRL+X, затем Enter и Y.

Включаем сетевую корзину в Samba

Добавляем в /etc/samba/smb.conf в секцию [global] следующие
строки.
 recylce:excludedir = tmp temp cache
recycle:exclude = *.tmp *.temp *.o *.obj ~$* *.~?? *.log
*.trace
recycle:versions = Yes
recycle:touch = Yes
recycle:keeptree = Yes
recycle:repository = /mnt/shara/.trash
vfs objects = recycle
Перезапускаем:
systemctl restart smbd

Поясню каждый параметр:

recylce:excludedir Список исключения директорий, файлы из
которых не будут попадать в корзину
recycle:exclude Список исключений для файлов. В данном случае
указан в виде масок некоторых расширений.
recycle:versions Параметр отвечает за версионность удаленных
файлов, если их имена совпадают. В таком случае к удаленном файлу в
начале имени будет добавляться Copy #N of.
recycle:touch Параметр отвечает за то, будет ли указана дата
изменения файла на время удаления файла, либо останется оригинальное
значение файла.
recycle:keeptree Сохранять или нет дерево каталогов для удаленных
файлов.
recycle:repository Указываем директорию, где будут храниться
удаленные файлы. Она может располагаться где угодно. Если параметр не
указан, используется значение по-умолчанию - .recycle в корне сетевого
диска.

Автозагрузка SAMBA
nano /etc/systemd/system/samba4.service
[Unit]
Description= Samba 4 Active Directory
After=syslog.target
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/samba/var/run/samba.pid
ExecStart=/usr/local/samba/sbin/samba
[Install]
WantedBy=multi-user.target

# systemctl enable samba4

Подключание к файловому серверу

Windows
Linux
apt-get install samba-client