Antes de tudo, devo admitir que você não pode torná-lo 100% seguro .
Para proteger o Samba na sua LAN, acho que a única opção que você tem é definir algumas regras no iptables para bloquear qualquer tentativa de senha incorreta por X vezes. - número de hitcount é a sua escolha, sugiro 2 ou 3
Aqui você pode ver algumas regras simples definidas no iptables, eu não usei o endereço IP nos comandos abaixo, mas eu recomendo que você defina o endereço IP seguido pelo seu número CIDR para que ele se torne mais seguro
$ iptables -A INPUT -i eth0 -p udp --dport 137 -m state --state NEW -m recent --set --name netbios-ns
$ iptables -A INPUT -i eth0 -p udp --dport 137 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name netbios-ns -j DROP
$ iptables -A INPUT -i eth0 -p udp --dport 138 -m state --state NEW -m recent --set --name netbios-dgm
$ iptables -A INPUT -i eth0 -p udp --dport 138 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name netbios-dgm -j DROP
$ iptables -A INPUT -i eth0 -p tcp --dport 139 -m state --state NEW -m recent --set --name netbios-ssn
$ iptables -A INPUT -i eth0 -p tcp --dport 139 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name netbios-ssn -j DROP
$ iptables -A INPUT -i eth0 -p tcp --dport 445 -m state --state NEW -m recent --set --name microsoft-ds
$ iptables -A INPUT -i eth0 -p tcp --dport 445 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name microsoft-ds -j DROP
Espero que isso possa ajudar.