Я администратор хостинговой компании и имею дело в основном с машинами Linux, хотя у нас много клиентов с серверами Windows.
В моем качестве я когда-либо использовал SMB только для файлового / принт-сервера в моей локальной сети.
Есть ли причина оставлять SMB открытым? Я не слышал о какой-либо реальной причине, чтобы он был доступен в Интернете, есть ли какая-то вещь Windows, о которой я не знаю, которая требует этого?
SMB - это протокол обмена файлами, и поэтому он иногда остается открытым для Интернета для обмена файлами.
Тем не мение, это очень плохая идея. По сравнению с более простыми протоколами, такими как FTP или WebDAV, которые в основном имеют очень маленькие интерфейсы GET / PUT и полностью реализованы в изолированных процессах пользовательского пространства, SMB является гораздо более сложным протоколом, глубоко интегрированным в основные службы Windows.
Более сложный характер SMB (и его очень низкая безопасность / целостность, по крайней мере, до версии 2) означает, что было использовано множество критических недостатков, а его тесная интеграция с Windows означает, что эти эксплойты были очень опасно.
Так что нет, не открывайте SMB в интернет
Просто не делай этого. Если кто-то попросит вас сделать это, я настоятельно рекомендую сказать им «нет» и быстро убежать.
Технически вы могли бы предоставить такой сервис через VPN, но если он находится на значительном расстоянии через WAN, он почти наверняка будет работать как полный мусор.
Существуют гораздо более совершенные службы для удаленного и локального обмена файлами, которые вы могли бы предоставить. Рассмотрим Amazon Storage Gateway или Google Storage. Эти решения позволяют прикреплять учетные записи облачного хранилища к файловым серверам внутри компании, создавая гибридное облако хранилища, которое синхронизируется везде, где это необходимо. Это быстро и безопасно, и удаленным пользователям не нужно подключаться к вашему файловому серверу, чтобы получить удаленные файлы, в то время как внутренним пользователям не нужно подключаться к вашему каналу WAN, чтобы получить те же файлы. Эти решения берут на себя большую нагрузку от администратора и помещают ее в облако, которое может справиться с нагрузкой, несмотря ни на что.
Нет. Оставьте минимальное количество портов, доступных для Интернета. Если вам нужно использовать SMB для чего-то (передача файлов с доверенным лицом, с аутентификацией и отметками времени для каждого предпринятого действия), настройте для них VPN, чтобы подключиться к нему, прежде чем устанавливать соединение SMB.
Есть ли причина? Я оставлю это на ваше усмотрение.
Это может быть сделано. Откройте порт 445 и настройте SMB, и вы сможете получить доступ к своим общим папкам через Интернет, как если бы вы делали это через локальную сеть.
Это будет очень медленно, потому что протокол не был разработан для работы в такой среде.
Есть известные риски безопасности. Ограничение IP может помочь.