Samba и FireWall

[WhiteWolf]

Всем доброго времени суток, просьба сильно не пинать, с BSD только столкнулся.

Проблема такая, есть сервак с установленой и настроеной FreeBSD 6.2 STABLE, я на нём поднял самбу и не могу доступится до шар видимо из-за этого:

Код: Выделить всё

nmap xxx.xxx.xxx.xxx
....
139/tcp  filtered netbios-ssn
....

что интересно в /etc/rc.conf:

Код: Выделить всё

....
firewall_enable="NO"        # Set to YES to enable firewall functionality
....
ipfilter_enable="NO"        # Set to YES to enable ipfilter functionality
.....
pf_enable="NO"            # Set to YES to enable packet filter (pf)

эти действия результата не принесли:

Код: Выделить всё

ipfw add allow tcp from any to me 139
ipfw add allow tcp from me to any 139

На моём домашнем компе (Slackware Current), самба (3.0.24) собранная также и с точно таким же конфигом работает на ура.
если я запускаю самбу на какой-либо другой порт - доступаюсь нормально(но не знаю как камеру заставить лить через порт отличный от 139).
когда я выключаю самбу, nmap мне всё равно выдаёт что 139-й порт filtered

[Thug]

ipfw add 100 allow tcp from any to any 139 - может так проще? Если конечно 100 правила нет. Тогда - максимально высокий номер ищите.

[Shura]

Случайно в самбе не прописано сидеть на интерфейсе 127.0.0.1? Самба сама к себе подключается?

[WhiteWolf]

Код: Выделить всё

[global]

# workgroup = NT-Domain-Name or Workgroup-Name, eg: LINUX2
   workgroup = MYGROUP

# server string is the equivalent of the NT Description field
   server string = Samba Server

# Security mode. Defines in which mode Samba will operate. Possible
# values are share, user, server, domain and ads. Most people will want
# user level security. See the HOWTO Collection for details.
   security = user

# This option is important for security. It allows you to restrict
# connections to machines which are on your local network. The
# following example restricts access to two C class networks and
# the "loopback" interface. For more examples of the syntax see
# the smb.conf man page
;   hosts allow = 192.168.1. 192.168.2. 127.

# If you want to automatically load your printer list rather
# than setting them up individually then you'll need this
   load printers = no

# this tells Samba to use a separate log file for each machine
# that connects
   log file = /var/log/samba.%m

# Put a capping on the size of the log files (in Kb).
   max log size = 50

# Most people will find that this option gives better performance.
# See the chapter 'Samba performance issues' in the Samba HOWTO Collection
# and the manual pages for details.
# You may want to add the following on a Linux system:
#         SO_RCVBUF=8192 SO_SNDBUF=8192
   socket options = TCP_NODELAY

# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The default is NO.
   dns proxy = no
#============================ Share Definitions ==============================
[homes]
   comment = Home Directories
   browseable = yes
   writable = yes

плюс

если я запускаю самбу на какой-либо другой порт - доступаюсь нормально(но не знаю как камеру заставить лить через порт отличный от 139).

[Jay]

nmap делали с другого хоста?
telnet сервер_самбы 139 с интересующего хоста работает?
smbclient с интересующего хоста на самба-сервер цепляется?
самба-сервер и интересующий хост видят друг-друга напрямую или через какой-нибудь еще роутер? Дайте ip-адреса с масками сети.

Что говорят следующие команды на сервере с самбой
ipfw show
pfctl -s rules
pfctl -s nat
ipnat -l
ipfstat -io (не помню точно, давно не использовал)
sockstat -4

[WhiteWolf]

>nmap делали с другого хоста?
да
>telnet сервер_самбы 139 с интересующего хоста работает?
да, с др. хостов - нет
>smbclient с интересующего хоста на самба-сервер цепляется?
да, с др. хостов - нет
>самба-сервер и интересующий хост видят друг-друга напрямую или через какой-нибудь еще роутер?
Не знаю, как узнать?
>Дайте ip-адреса с масками сети.
владелец сервака просил не говорить

выполнил недавно ipfw -Fa так что:
ipfw show
65535 701268 303607880 allow ip from any to any

pfctl: /dev/pf: No such file or directory

ipnap, ipf и ipfstat:
open device: No such file or directory
User/kernel version check failed

sockstat -4 | grep smb:
root smbd 83595 18 tcp4 *:445 *:*
root smbd 83595 19 tcp4 *:139 *:*

[Shura]

Попробуй раскомментировать строку Hosts Allow и прописать там свою подсеть. И обрати внимание на строку interfaces

[Jay]

>самба-сервер и интересующий хост видят друг-друга напрямую или через какой-нибудь еще роутер?
Не знаю, как узнать?

Да хоть traceroute сделайте с хоста на самба-сервер. Если между ними будет еще один хост, значит в нем надо ковыряться.

Есть еще мысль насчет tcp wrappers.. Посмотрите, что у вас в файле /etc/hosts.allow. Я не помню точно, поддерживает ли samba tcp wrappers. Тем не менее, при открытом файрволле и прямой видимости между хостом и самба-сервером, это единственный вариант.. В дефолтном hosts.allow строка "ALL : ALL : allow" в самом начале перекрывает все, что ниже (первое совпавшее правило выигрывает). Если у вас есть записи, начинающиеся с smbd, то скорее всего это и есть причина проблем.