Samba 4 portok

Linux-haladó

Üdv!

Adott egy CentOS7 samba4 (4.1.1-37.el7_0.x86_64) csomagokkal, egyszerű user szintű megosztással (nem tartomány). A samba szerver portjait szeretném azért védeni iptables segítségével (helyi hálózatban).
A doksi szerint ezek a portok használatosak:

End Point Mapper (DCE/RPC Locator Service) 135 tcp
NetBIOS Name Service 137 udp
NetBIOS Datagram 138 udp
NetBIOS Session 139 tcp
SMB over TCP 445 tcp

Ha az iptables-ben ezeket beállítom, akkor név szerint nem elérhető a samba szerver, csak IP címmel. Mit hagyok ki?
(A hálózatban nincs DNS szerver. A munkaállomások Win7/8.1)

--
G.

  • 2972 megtekintés

( Szenti v | 2014. 11. 07., p – 10:55 )

Mit hagysz ki? A probléma leírásából például az alábbi infókat:

  • a blokkoláshoz általad használt IPTABLES szabályok
  • blokkolsz-e a SAMBA-n kimenő forgalmat?
  • nbtstat -A $SAMBA_IP parancsnak van-e kimenete?

A problémád nekem névfeloldási problémának tűnik.

( gerendas | 2014. 11. 07., p – 10:53 )

A samba 4 -es beépített DNS szervert tartalmaz.
AD-nek vagy sima szervernek állítottad be?

Ha AD akkor a DNS elérést is biztosítani kell.

Nem AD (nem tartomány, írtam is).
/etc/sysconfig/iptables:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 135 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 137 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

/etc/samba/smb.conf

[global]
workgroup = MUNKACSOPORT
server string = Samba Server Version %v
netbios name = SMB-SRV
interfaces = lo eth0 192.168.1.0/24
hosts allow = 127. 192.168.1.
log file = /var/log/samba/log.%m
max log size = 50
security = user
passdb backend = tdbsam
load printers = yes
cups options = raw

[adatok]
comment = Adatok
path = /srv/samba/adatok
browseable = yes
writable = yes
guest ok = yes

Szóval, jó lenne név szerint látni a samba szervert.

--
G.

( makgab v | 2014. 11. 07., p – 16:29 )

Azért furcsa, mert közben így is eltűnik a szerver (név szerint). :(

--
G.

Ha az iptables szabályok nem fut, akkor:

Ethernet:
Node IpAddress: [192.168.1.224] Scope Id: []
FILE-SRV <00> UNIQUE Registered
FILE-SRV <03> UNIQUE Registered
FILE-SRV <20> UNIQUE Registered
MUNKACSOPORT <00> GROUP Registered
MUNAKCSOPORT <1E> GROUP Registered

Mac Address = 00-00-00-00-00-00

Ha az iptables szabályok futnak:

Host not found

/etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 135 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

--
G.

( mauser1 v | 2014. 11. 07., p – 16:35 )

Esetleg host file-ban nem kéne meg adni a ip -> gépnev-et ?