URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 43197
[ Назад ]

Исходное сообщение
"Правила ipfw для Samba"
Отправлено kolayshkin , 21-Апр-04 17:29

Всем привет!У меня следующая связка FreeBSD 4.9 & Samba 2.2.8 Какие правила надо добавить в firewall и почему (по умолчанию все запрещено), что бы клиенты с виндовс подключались к моей вводя имя? По IP адресу соединение происходит нормально. Отключая firewall все нормально разрешаеться. Сервера имен в локалке нет, по определенным причинам. Существующие правила такие (только часть):
.....
allow ip from me to my_network
allow ip from my_network to me
.....
Вопрос может быть и совсем глупый, но мои познания в сетях Microsoft желают быть лучшеми.Заранее спасибо

Содержание

Правила ipfw для Samba,Simps, 17:35 , 21-Апр-04
- Правила ipfw для Samba,kolayshkin, 17:49 , 21-Апр-04
  - Правила ipfw для Samba,Simps, 17:51 , 21-Апр-04
  - Правила ipfw для Samba,teebot, 18:21 , 21-Апр-04
    - Правила ipfw для Samba,kolayshkin, 18:42 , 21-Апр-04
      - Правила ipfw для Samba,teebot, 18:58 , 21-Апр-04
        
        Правила ipfw для Samba,kolayshkin, 19:04 , 21-Апр-04
Правила ipfw для Samba,Дмитрий Ю. Карпов, 19:42 , 21-Апр-04
- Правила ipfw для Samba,kolayshkin, 20:35 , 21-Апр-04
Правила ipfw для Samba,victor, 00:31 , 22-Апр-04
- Правила ipfw для Samba,Simps, 11:23 , 22-Апр-04
- Правила ipfw для Samba,Дмитрий Ю. Карпов, 14:42 , 22-Апр-04

Сообщения в этом обсуждении

"Правила ipfw для Samba"
Отправлено Simps , 21-Апр-04 17:35

>Всем привет!У меня следующая связка FreeBSD 4.9 & Samba 2.2.8 Какие правила
>надо добавить в firewall и почему (по умолчанию все запрещено), что
>бы клиенты с виндовс подключались к моей вводя имя? По IP
>адресу соединение происходит нормально. Отключая firewall все нормально разрешаеться. Сервера имен
>в локалке нет, по определенным причинам. Существующие правила такие (только часть):
>
>.....
>allow ip from me to my_network
>allow ip from my_network to me
>.....
>
>Вопрос может быть и совсем глупый, но мои познания в сетях Microsoft
>желают быть лучшеми.Заранее спасибо
allow tcp from any to me 137,139
allow udp from any to me 137,139
allow udp from any to me 138
allow tcp from any 137,139 to me
allow udp from any 137,139 to me
allow udp from any 138 to me
еще по подобию можно добавить 445 порт

"Правила ipfw для Samba"
Отправлено kolayshkin , 21-Апр-04 17:49

>allow tcp from any to me 137,139
>allow udp from any to me 137,139
>allow udp from any to me 138
>allow tcp from any 137,139 to me
>allow udp from any 137,139 to me
>allow udp from any 138 to me
>
>еще по подобию можно добавить 445 порт
Пробывал я это дело: 137,138,139 - открывал для tcp и udp, все равно не получаетьмся. А 445 порт для чего открывать? Еще такая вещь наблюбдаеться: когда винда один раз зашла с disable firewall то потом он6а уже нормально заходит, те какая-то проблема с разрешением имен,но не понятно что именно.

"Правила ipfw для Samba"
Отправлено Simps , 21-Апр-04 17:51

>
>>allow tcp from any to me 137,139
>>allow udp from any to me 137,139
>>allow udp from any to me 138
>>allow tcp from any 137,139 to me
>>allow udp from any 137,139 to me
>>allow udp from any 138 to me
>>
>>еще по подобию можно добавить 445 порт
>
>Пробывал я это дело: 137,138,139 - открывал для tcp и udp, все
>равно не получаетьмся. А 445 порт для чего открывать? Еще такая
>вещь наблюбдаеться: когда винда один раз зашла с disable firewall то
>потом он6а уже нормально заходит, те какая-то проблема с разрешением имен,но
>не понятно что именно.
Надо открыть эти порты на вход у себя и разрешить их на выход к тачкам
Одwremено

"Правила ipfw для Samba"
Отправлено teebot , 21-Апр-04 18:21

>Пробывал я это дело: 137,138,139 - открывал для tcp и udp, все
>равно не получаетьмся. А 445 порт для чего открывать? Еще такая
>вещь наблюбдаеться: когда винда один раз зашла с disable firewall то
>потом он6а уже нормально заходит, те какая-то проблема с разрешением имен,но
>не понятно что именно.
tcpdump src host my_network
ну или
ipfw add deny log ip from my_network to me
и смотри в /var/log/security (если конечно у тебя ядро собрано с IPFIREWALL_VERBOSE)
узнаешь на какой порт ломятся вот их и открывай

"Правила ipfw для Samba"
Отправлено kolayshkin , 21-Апр-04 18:42

>tcpdump src host my_network
>ну или
>ipfw add deny log ip from my_network to me
>
>и смотри в /var/log/security (если конечно у тебя ядро собрано с IPFIREWALL_VERBOSE)
>
>
>узнаешь на какой порт ломятся вот их и открывай
Стоят у меня подобные правила, но на них ничего нет. В сетевом окружении сервеир виден, но припопытке зайти, выскакивает сообщение, что не тправ доступа. По IP заходит нормально, это какие-то проблемы с преобразованием имен, но какие непонятно

"Правила ipfw для Samba"
Отправлено teebot , 21-Апр-04 18:58

>
>>tcpdump src host my_network
>>ну или
>>ipfw add deny log ip from my_network to me
>>
>>и смотри в /var/log/security (если конечно у тебя ядро собрано с IPFIREWALL_VERBOSE)
>>
>>
>>узнаешь на какой порт ломятся вот их и открывай
>
>Стоят у меня подобные правила, но на них ничего нет. В сетевом
>окружении сервеир виден, но припопытке зайти, выскакивает сообщение, что не тправ
>доступа. По IP заходит нормально, это какие-то проблемы с преобразованием имен,
>но какие непонятно
ну и пропиши хосты свои в /etc/hosts
если понадобится то и nsswitch.conf что-то типа hosts: files
будет тебе преобразование имен
потом запостишься, расскажешь, что получилось

"Правила ipfw для Samba"
Отправлено kolayshkin , 21-Апр-04 19:04

>ну и пропиши хосты свои в /etc/hosts
>если понадобится то и nsswitch.conf что-то типа hosts: files
>будет тебе преобразование имен
>потом запостишься, расскажешь, что получилось
Причем тут hosts?
Клиент Windows не может зайти на сервер с FreeBSD.

"Правила ipfw для Samba"
Отправлено Дмитрий Ю. Карпов , 21-Апр-04 19:42

Думаю, здесь дело в броадкастах (ftom any to броадкаст) - они-то не попадают под эти два правила. Лично я бы написал
allow ip from my_network to my_network
(надеюсь, все оценят красоту такого решения).

"Правила ipfw для Samba"
Отправлено kolayshkin , 21-Апр-04 20:35

>Думаю, здесь дело в броадкастах (ftom any to броадкаст) - они-то не
>попадают под эти два правила. Лично я бы написал
>allow ip from my_network to my_network
>(надеюсь, все оценят красоту такого решения).
Огромное спасибо Дмитрию Карпову. Я сорвсем забыл про то как определяеться имя хоста в отсутствие DNS и WINS серверов.

"Правила ipfw для Samba"
Отправлено victor , 22-Апр-04 00:31

>allow tcp from any to me 137,139
>allow udp from any to me 137,139
>allow udp from any to me 138
>allow tcp from any 137,139 to me
>allow udp from any 137,139 to me
>allow udp from any 138 to me
это круто...
тебя еще не хакнули?

"Правила ipfw для Samba"
Отправлено Simps , 22-Апр-04 11:23

>>allow tcp from any to me 137,139
>>allow udp from any to me 137,139
>>allow udp from any to me 138
>>allow tcp from any 137,139 to me
>>allow udp from any 137,139 to me
>>allow udp from any 138 to me
>
>это круто...
>
>тебя еще не хакнули?
А с чего меня должны хакнуть ?

"Правила ipfw для Samba"
Отправлено Дмитрий Ю. Карпов , 22-Апр-04 14:42

> тебя еще не хакнули?
Если у него правильно настроен hosts allow, то ничего страшного случиться не может. А даже если hosts allow не настроен, но все шары под паролем (или содержат что-то несекретное и ReadOnly), то тоже ничего страшного случиться не должно.