Polskie Forum Użytkowników Debiana

Nie wiem czy to pomoże
135 TCP smbd
137 UDP nmbd
138 UDP nmbd
139 TCP smbd
445 TCP smbd rozproszonego systemu plików (DFS)

Rozumiem, że to logi z wyłączonym firewallem.
chyba powinno pomóc jak wpiszesz ta regułkę

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.1.0/24 -p udp --sport 137 -j ACCEPT

zamiast

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT

a jak nie to w ostateczności

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.1.0/24 -p udp -m multiport --dport 1024:65535 -j ACCEPT

ale mam nadzieję, że pierwsza zadziała.

Już doszedłem do tego! W międzyczasie widzę Grzesiek, że też wpadłeś na dobry trop. Generalnie załatwiło sprawę dopisanie dwóch linijek:

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.2.0/24 -p udp --sport 137 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -p udp --sport 138 -j ACCEPT

No i teraz chodzi w obie strony.

[Dodano: 2009-07-01, 00:25]
Aha, zapomniałem, że tcpdump był na włączonym firewallu.

Witam.
Mam mały problem z sambą. Najwyraźniej nie rozumiem mechanizmów, na których to działa. Otóż, wszystkie usługi działają na poniższych ustawieniach (co dziwne nie jest) a samba nie. Pytanie dlaczego?

Kod: Zaznacz cały

i=/sbin/iptables

$i -X
$i -F
$i -Z

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT DROP

$i -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$i -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$i -A INPUT -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
$i -A INPUT -m state --state INVALID -j DROP

Otwieram dostęp do serwera dla wszystkich hostów w sieci lokalnej. Pakiety powiązane mogą wychodzić z serwera więc wszystko powinno hulać, a w przypadku samby tak nie jest.

Włącz sobie logowanie w iptables i będziesz wiedział co blokuje twój firewall.

Kod: Zaznacz cały

#domyslnie LOG i Reject
iptables -A INPUT -i ! lo -j LOG --log-prefix "INPUT DROP " --log-ip-options --log-tcp-options

Do tego logowanie do innego pliku i zawsze wiesz co się dzieje.

Dobrze, spróbuję w pracy. Jednak, czy powyższe reguły nie powinny po prostu przepuszczać całego ruchu wejściowego i wyjściowego dla sieci lokalnej? Działa dla wszystkiego oprócz samby. Efekt jest taki, że czasem jest połączenie a czasem nie.

Dodane:

Kod: Zaznacz cały

i=/sbin/iptables

$i -X
$i -F
$i -Z

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT DROP

$i -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$i -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$i -A INPUT -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
$i -A INPUT -i ! lo -j LOG --log-level debug --log-prefix "INPUT DROP " --log-ip-options --log-tcp-options
$i -A INPUT -m state --state INVALID -j DROP

/etc/rsyslog.conf

Kod: Zaznacz cały

kern.=debug        -/var/log/iptables

Nie loguje nic...
Log sam działa, bo jak regułkę loga dam jako pierwszą to logi się pojawiają. A więc pakiety wchodzą i wychodzą. Ktoś ma jakieś wytłumaczenie?

Dodane:
Po długich testach stwierdziłem empirycznie, że problemem był brak reguły.

Kod: Zaznacz cały

$i -A OUTPUT -m state --state NEW -j ACCEPT

Tylko no właśnie, taka konfiguracja jest bez sensu i w ogóle można sobie ustawić domyślnie OUTPUT na ACCEPT. A ja chcę kontrolować wyjście. Najdziwniejsze jest to, zawężanie powyższego polecenia, np.:

Kod: Zaznacz cały

$i -A OUTPUT -d 192.168.1.0/24 -m state --state NEW -j ACCEPT

powoduje, że samba jest blokowana. Ba, przy próbie uruchomienia skrypt stoi w miejscu i nie chce wystartować. Pytanie dlaczego powyższa reguła to blokuje?

Dodane:

Już mam. Miej logi i przeglądaj logi:

/var/log/samba/log.nmbd

Kod: Zaznacz cały

send_netbios_packet: send_packet() to IP 127.0.0.1 port 137 failed

A więc należy na początek ustawić regułkę:

Kod: Zaznacz cały

 $i -A INPUT -d 127.0.0.1 -j ACCEPT

I działa. Mam nadzieje, że zaoszczędzi to na przyszłość czasu wszystkim tym co chcą mieć sambę i jednocześnie blokować wyjście.

Najpierw przeczytaj artykuł Microsoftu: http://support.microsoft.com/kb/298804
Tam masz informacje jakie porty i jaki typ portu jest wykorzystywany przy udostępnianiu plików i drukarek, ponieważ mam wrażenie że tu jest uprawiana jakaś zgaduj-zgadula.

Hej, dzięki. Akurat to co jest napisane na tej stronie, to wiem (jakie porty TCP i UPD, zresztą wpuszczam wszystko co pochodzi z LANu). Jak pewnie przeczytałeś powyżej, problemem było wypuszczenie ruchu do pętli zwrotnej, a tego akurat na cytowanej przez Ciebie stronce nie ma. Zgaduj zgadule, fakt uprawiałem, dopóki nie zajrzałem do loga samby.

Polskie Forum Użytkowników Debiana

[+] W