Sziasztok,
Abban kernek segitseget, hogy samba megosztast szertenek elerni egy Cisco-ASA tuzfalon keresztul.
Milyen portokat kell at NAT-olni az ASA-n hogy ez mukodjon?
a 445 tcp,udp
139 tcp
137,138 udp kintrol at van static NAT-al natolva , kifele minden mehet a tuzfalon, de nem ok.
Mi kell meg ?
Koszi a segitseget.
sztupi
- 4600 megtekintés
Hozzászólások
A kliensen és a szerveren a tcpdump mit mutat? És az ASA logja?
- A hozzászóláshoz be kell jelentkezni
Az ASA-n nincs semmi a logban, server fogadja az osszes porton a forgalmat
- A hozzászóláshoz be kell jelentkezni
"Az ASA-n nincs semmi a logban" - ööö... ez azért furcsa, mert emlékeim szerint eléggé szeret logolni, pláne NAT esetén. Az, hogy a szerver "fogadja a forgalmat" az a dolog lehetőség oldala, a tényleges történést, hogy a kliensről induló csomag meddig jut, azt tcpdump/wireshark mondja meg - és ez a kérdés, hogy elindul-e a kapcsolódás, ha igen, akkor meddig jut, milyen válaszcsomag érkezik (ha érkezik). Esetleg a NETBIOS inspection is érdekes lehet a számodra...
- A hozzászóláshoz be kell jelentkezni
Az ASA-n realtime figyeltem a forgalmat, de semmit nem lattam arrol az ipcimrol ahonnan kapcsolodtam.
Ezt nem ertem, legalabb a bejovo kereseket kellene latnom.
Elvileg pedig mukodik mert, masik portokon, masik serverre felenged.S az elozoek analogijara csinaltam meg
- A hozzászóláshoz be kell jelentkezni
Ezt mondja a wireshark:
Frame 17: 76 bytes on wire (608 bits), 76 bytes captured (608 bits)
Internet Protocol Version 4, Src: 79.122.49.47 (79.122.49.47), Dst: 217.6x.x.x (217.65.110.23)
Transmission Control Protocol, Src Port: 58314 (58314), Dst Port: microsoft-ds (445), Seq: 0, Len: 0
Ebbol en semmi erdemlegeset nem tudok kihamozni
- A hozzászóláshoz be kell jelentkezni
Milyen csomagok mentek ki, és azokra milyen válaszok érkeztek?
- A hozzászóláshoz be kell jelentkezni
ASA: Deny tcp src outside:172.245.215.134/3604 dest outside:217.6x.x.x/445 by access-group "allowed_from_outside" [0x0,0x0]
Conf-ban:
access-list allowed_from_outside extended permit tcp any host 192.168.1.231 eq netbios-ssn
access-list allowed_from_outside extended permit tcp any host 192.168.1.231 eq 445
access-list allowed_from_outside extended permit tcp any host 192.168.1.231 eq 137
access-list allowed_from_outside extended permit tcp any host 192.168.1.231 eq 138
access-list allowed_from_outside extended permit udp any host 192.168.1.231 eq 445
access-list allowed_from_outside extended permit udp any host 192.168.1.231 eq netbios-ns
access-list allowed_from_outside extended permit udp any host 192.168.1.231 eq netbios-dgm
- A hozzászóláshoz be kell jelentkezni
Akkor rá is jöttél a probléma okára, miszerint nem engeded be a forgalmat. (192.168.1.231 nem azonos a 217.65.x.x-szel)
- A hozzászóláshoz be kell jelentkezni
Ez nekem is eszembe jutott :)
Portnál elég a 139 és a 445 alaphelyzetben.
- A hozzászóláshoz be kell jelentkezni
Szia,
Eddig be voltam havazva bocs.
Ra bizony.
Felcsreltem egy inside,outside sorrendet a NAT rules-ban. Ez volt a baja.
koszi a segitseget
Sztupi
- A hozzászóláshoz be kell jelentkezni
https://wiki.samba.org/index.php/Samba_port_usage
Szerk.: Szóval ez alapján mennie kéne azokkal a portokkal
BlackY
- A hozzászóláshoz be kell jelentkezni
SMB szerveren:
tcpdump -i eth0 -nn host 192.168.1.231 and port 445
Ez a parancs mit mond? (tcpdump csomag kell neki.)
Másold be a kimenetet. Hátha az többet mutat.
- A hozzászóláshoz be kell jelentkezni