smbmount+iptables (Какие порты отурыть?)

Cent OS, Scientific Linux

Модераторы: broom, Модераторы разделов

CroN
Сообщения: 9

smbmount+iptables

Сообщение CroN » 28.04.2005 20:06

Люди почему при таких настройках iptables:

Код: Выделить всё

[root@Berloga-File-Server init.d]# iptables --list -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  192.168.11.43        0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  192.168.11.5         0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  192.168.11.4         0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
ACCEPT     tcp  --  192.168.11.1         0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  192.168.11.5         0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@Berloga-File-Server init.d]#


Не работает smbmount, не коннектится просто:
10914: Connection to server_game failed
SMB connection failed


Вырубаю фаерфол, и все ок.

Что надо добавить в правила чтоб все нормально монтировалось?
Спасибо сказали:

Аватара пользователя
Stratofortress
Сообщения: 6

Re: smbmount+iptables

Сообщение Stratofortress » 29.04.2005 11:14

tcp 135
udp 137
udp 138
tcp 139
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: smbmount+iptables

Сообщение sash-kan » 29.04.2005 20:38

Для Stratofortress:
а 135-й зачем?
и почему такой разброс по tcp/udp?
imho так:
137-139 tcp+udp
у меня настроено так.
по инструкции с microsoft.com :))
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
Stratofortress
Сообщения: 6

Re: smbmount+iptables

Сообщение Stratofortress » 05.05.2005 12:22

(Sash Kan @ Пятница, 29 Апреля 2005, 20:38) писал(а):по инструкции с microsoft.com :))

;) ну, я тоже не только с потолка взял. http://support.microsoft.com/default.aspx?...kb;en-us;179442
135/TCP RPC *
137/UDP NetBIOS Name
138/UDP NetBIOS Netlogon and Browsing
139/TCP NetBIOS Session
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: smbmount+iptables

Сообщение sash-kan » 06.05.2005 20:53

Для Stratofortress:
ну-у... про microsoft.com - эт я пошутил...
потому как не помню, где информацию брал.
но на microsoft.com за инструкциями по настройке linux'а не ходил - эт точно :)
потому как нет их там (imho, конечно - весь сайт перешерстить не берусь).
и приведенная ссылка - пример тому:
APPLIES TO
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows NT Server 4.0 Standard Edition

т.е., приложимо только для этих четырех дистрибутивов :))

Sash Kan добавил в 06.05.2005 20:53

и 135-й порт не надо открывать. afaik, samba его не использует.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
Stratofortress
Сообщения: 6

Re: smbmount+iptables

Сообщение Stratofortress » 10.05.2005 11:32

(Sash Kan @ Пятница, 06 Мая 2005, 20:53) писал(а):ну-у... про microsoft.com - эт я пошутил...

;) смешно.

(Sash Kan @ Пятница, 06 Мая 2005, 20:53) писал(а):на microsoft.com за инструкциями по настройке linux'а

собственно, линукс как таковой здесь ни при чём.
how to configure a firewall ;) а им может выступить не только линукс.

(Sash Kan @ Пятница, 06 Мая 2005, 20:53) писал(а):приложимо только для этих четырех дистрибутивов :))

да для всех приложимо.

(Sash Kan @ Пятница, 06 Мая 2005, 20:53) писал(а):135-й порт не надо открывать. afaik, samba его не использует.

ну, вообще говоря, да. smb ports = 445, 139 ;) но.

This command opens TCP ports to allow SMB requests in:

  iptables -I INPUT 1 -p tcp --dport 137:139 -j ACCEPT

This command opens UDP ports to allow SMB requests in:

  iptables -I INPUT 1 -p udp --dport 137:139 -j ACCEPT

To make it even more secure, you could add in --source <network ip>/<subnet mask> right after the protocal. For example,

  iptables -I INPUT 1 -p tcp --source 10.1.0.0/255.255.255.0 --dport 137:139 -j ACCEPT


IMPORTANT NOTE!!

All changes will be lost unless you save them.

Saving them is as simple as:

  iptables-save > /etc/sysconfig/iptables
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: smbmount+iptables

Сообщение sash-kan » 10.05.2005 16:47

по поводу 135-го порта припомнилось (тоже не помню - отуда :)

его желательно не drop-ать, а reject-ить.
якобы чтоб win-машины быстрее отвалилвались с пониманием: "здесь вам делать нечего" :)

правда или нет - не знаю, цифрами не обладаю.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
Stratofortress
Сообщения: 6

Re: smbmount+iptables

Сообщение Stratofortress » 10.05.2005 17:07

(Sash Kan @ Вторник, 10 Мая 2005, 16:47) писал(а):правда или нет - не знаю, цифрами не обладаю.

SANS Top-20 Entry:
W5 Windows Remote Access Services

http://www.sans.org/top20/index1.php#w5

Remote Procedure Calls
Many versions of Microsoft operating systems (Windows NT 4.0, 2000, XP, and 2003) provide an inter-process communication mechanism that allows programs running on one host to execute code on remote hosts. Three vulnerabilities have been published that would allow an attacker to run arbitrary code on susceptible hosts with Local System privileges. One of these vulnerabilities was exploited by Blaster/MSblast/LovSAN and Nachi/Welchia worms. There are also other vulnerabilities that would allow attackers to mount Denial of Service attacks against RPC components.
Спасибо сказали: