smbmount+iptables (Какие порты отурыть?)

[CroN]

Люди почему при таких настройках iptables:

Код: Выделить всё

[root@Berloga-File-Server init.d]# iptables --list -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  192.168.11.43        0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  192.168.11.5         0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  192.168.11.4         0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
ACCEPT     tcp  --  192.168.11.1         0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  192.168.11.5         0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@Berloga-File-Server init.d]#

Не работает smbmount, не коннектится просто:

10914: Connection to server_game failed
SMB connection failed

Вырубаю фаерфол, и все ок.

Что надо добавить в правила чтоб все нормально монтировалось?

[Stratofortress]

tcp 135
udp 137
udp 138
tcp 139

[sash-kan]

Для Stratofortress:
а 135-й зачем?
и почему такой разброс по tcp/udp?
imho так:
137-139 tcp+udp
у меня настроено так.
по инструкции с microsoft.com :))

[Stratofortress]

по инструкции с microsoft.com )

ну, я тоже не только с потолка взял. http://support.microsoft.com/default.aspx?...kb;en-us;179442

135/TCP RPC *
137/UDP NetBIOS Name
138/UDP NetBIOS Netlogon and Browsing
139/TCP NetBIOS Session

[sash-kan]

Для Stratofortress:
ну-у... про microsoft.com - эт я пошутил...
потому как не помню, где информацию брал.
но на microsoft.com за инструкциями по настройке linux'а не ходил - эт точно :)
потому как нет их там (imho, конечно - весь сайт перешерстить не берусь).
и приведенная ссылка - пример тому:

APPLIES TO
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows NT Server 4.0 Standard Edition

т.е., приложимо только для этих четырех дистрибутивов :))

Sash Kan добавил в 06.05.2005 20:53

и 135-й порт не надо открывать. afaik, samba его не использует.

[Stratofortress]

ну-у... про microsoft.com - эт я пошутил...

смешно.

на microsoft.com за инструкциями по настройке linux'а

собственно, линукс как таковой здесь ни при чём.
how to configure a firewall а им может выступить не только линукс.

приложимо только для этих четырех дистрибутивов )

да для всех приложимо.

135-й порт не надо открывать. afaik, samba его не использует.

ну, вообще говоря, да. smb ports = 445, 139 но.

This command opens TCP ports to allow SMB requests in:

  iptables -I INPUT 1 -p tcp --dport 137:139 -j ACCEPT

This command opens UDP ports to allow SMB requests in:

  iptables -I INPUT 1 -p udp --dport 137:139 -j ACCEPT

To make it even more secure, you could add in --source <network ip>/<subnet mask> right after the protocal. For example,

  iptables -I INPUT 1 -p tcp --source 10.1.0.0/255.255.255.0 --dport 137:139 -j ACCEPT


IMPORTANT NOTE!!

All changes will be lost unless you save them.

Saving them is as simple as:

  iptables-save > /etc/sysconfig/iptables

[sash-kan]

по поводу 135-го порта припомнилось (тоже не помню - отуда :)

его желательно не drop-ать, а reject-ить.
якобы чтоб win-машины быстрее отвалилвались с пониманием: "здесь вам делать нечего" :)

правда или нет - не знаю, цифрами не обладаю.

[Stratofortress]

правда или нет - не знаю, цифрами не обладаю.

SANS Top-20 Entry:
W5 Windows Remote Access Services

http://www.sans.org/top20/index1.php#w5

Remote Procedure Calls
Many versions of Microsoft operating systems (Windows NT 4.0, 2000, XP, and 2003) provide an inter-process communication mechanism that allows programs running on one host to execute code on remote hosts. Three vulnerabilities have been published that would allow an attacker to run arbitrary code on susceptible hosts with Local System privileges. One of these vulnerabilities was exploited by Blaster/MSblast/LovSAN and Nachi/Welchia worms. There are also other vulnerabilities that would allow attackers to mount Denial of Service attacks against RPC components.