本記事では、Sambaをインターネットに公開せず、
WireGuard VPN経由のみでアクセスできる安全な構成を解説します。
■ この構成のポイント
・Sambaは外部公開しない
・VPN接続時のみアクセス可能
・セキュリティを大幅に強化
■ 構成
スマホ / PC
↓
WireGuard VPN
↓
Samba(内部のみ)
👉 外部から直接アクセス不可
■ ① Sambaインストール
sudo apt update
sudo apt install samba -y
■ ② 共有フォルダ作成
sudo mkdir -p /home/share01
sudo chown -R $USER:$USER /home/share01
sudo chmod 770 /home/share01
■ ③ ユーザー追加
sudo smbpasswd -a $USER
■ ④ 設定ファイル編集
sudo vi /etc/samba/smb.conf
■ 追記
[Share]
path = /home/share01
read only = no
valid users = $USER
create mask = 0660
directory mask = 0770
■ ⑤ VPN限定にする(重要)
■ インターフェース制限
interfaces = lo wg0
bind interfaces only = yes
👉 これが最重要
■ ⑥ 再起動
sudo systemctl restart smbd
■ ⑦ 動作確認
sudo smbclient -L localhost -U $USER
■ 接続方法
■ Windows
\\10.9.0.1\Share
■ Linux
smbclient //10.9.0.1/Share -U user
■ Mac
smb://10.9.0.1/Share
■ セキュリティ(重要)
■ 外部公開しない理由
Samba(445番ポート)は
👉 インターネット公開NG
■ この構成なら
VPN接続者のみアクセス可能
👉 非常に安全
■ よくあるトラブル
● 接続できない
・VPN未接続
・IP間違い
● 権限エラー
ls -ld /home/share01
● ポート開放してしまっている
👉 445を外部に開けない
■ firewalld補足
👉 Sambaポートは開けない
# NG
firewall-cmd --add-service=samba
👉 VPNで完結させる
■ この構成のメリット
・安全(外部非公開)
・シンプル
・スマホ連携しやすい
■ 次にやること
👉 これで完成ではありません
■ スマホ接続
→ iPhone / Android
👉 NASとして使える
■ 本環境
・Ubuntu Server
・WireGuard
・Samba
■ 関連記事
→ WireGuard構築
→ スマホ接続
→ firewalld設定
→ fail2ban設定
コメント