Van két C osztályú hálózat 192.168.1.x és 192.168.2.x
A két hálózatot egy Linux "szerver" fogja össze, ahol két hálókártya van. A "szerveren" az iptables és a routing engedélyezve van.
Van az "1" szegmensben egy Brother MFC-L6900DW multifunkcionális nyomtató, amit most a "2" hálózatból el kellene érni.
Úgy gondoltam egy-két port forwardal el intézhetem, de az nmap 9 portot tart nyitva:
25/tcp open smtp
80/tcp open http
443/tcp open https
515/tcp open printer
631/tcp open ipp
9100/tcp open jetdirect
54921/tcp open unknown
54922/tcp open unknown
54923/tcp open unknown
Ezt mind forwardolni kell?
- 736 megtekintés
Hozzászólások
Csak a 515-ös (lpr) és a 9100-as (raw) protokollt kell engedni, attól függően, hogy a nyomtató melyiket támogatja. Viszont visszafelé is engedni szükséges a tűzfalon a forgalmat a nyomtató felől a hálózatokra. A tűzfal log-okban majd jól fogod látni hogy miket szükséges engedélyezni és honnan hova.
Érdemes és kell is a nyomtató firmware-jét frissíteni: https://support.brother.com/g/b/downloadlist.aspx?c=hu&lang=hu&prod=mfcl6900dw_us_eu_as&os=10013
- A hozzászóláshoz be kell jelentkezni
Köszönöm!
Lehet jobban járok egy kábellel :(
* Én egy indián vagyok. Minden indián hazudik.
- A hozzászóláshoz be kell jelentkezni
"visszafelé is engedni szükséges a tűzfalon a forgalmat a nyomtató felől a hálózatokra" - mármint a FORWARD-ban az ESTABLISHED,RELATED állapotú csomagokra kell egy accept.
A FORWARD végére valóban javasolt egy -j LOG, majd pedig eg -j DROP sor, hogy az eldobált csomagokról legyen log - mondjuk a logot elég csak a NEW állapotra beállítani.
- A hozzászóláshoz be kell jelentkezni
Ehhez miért kell bármilyen forward ?
Van egy route-olt hálózatod, a kettő között ha nem szűröd a "router"-en a forgalmat, akkor teljes az átjárás.
Ha a router-en szűröd a forgalmat, akkor pedig nyomtató IP-re engeded a szükséges portokat (vagy mindent), de ehhez sem szükséges semmilyen forward!
Az egésznek egyetlen hátránya van, a másik subnetben lévő kliensek nem fogják maguktól megtalálni a nyomtatót, kézzel kell hozzáadni. (multicast csomagok subneten kívül)
- A hozzászóláshoz be kell jelentkezni
Ez kicsit zavaros. A nyomtató subnetje átlát kifelé a másik subnetre (akár ping) de fordítva ez nem igaz.
* Én egy indián vagyok. Minden indián hazudik.
- A hozzászóláshoz be kell jelentkezni
Mutass lécci egy iptables-save kimenetet, hogy tudjuk, honnan kéne indulni...
- A hozzászóláshoz be kell jelentkezni
Ajaj. Belenéztem. Ezt még át kell néznem.
Egyébként, zömében mac -re szűrt tételek tömege, itt engedem ki a netre akit kiengedhetek.
* Én egy indián vagyok. Minden indián hazudik.
- A hozzászóláshoz be kell jelentkezni
neked saccperkábé a FORWARD elejére kéne valami ilyesmi:
-i ketteshálóinterfésze -s 192.168.2.0/24 -d nyomtatócíme/32 -p tcp -m multiport --dports 443,515,631,9100 -j ACCEPT
meg valami ilyen:
-i egyeshálóinterfésze -s nyomtatócíme/32 -d 192.168.2.0/24 -m conntrack --ctstate ESTABLISHED -j ACCEPT
A 443-at a nyomtató webes matatásához célszerű nyitni, a többi meg a nyomtatáshoz kell(het), ízlés szerint :-D
- A hozzászóláshoz be kell jelentkezni
A multicastokkal sem lenne semmi baja, felteszi a PIMD-t és menni fog...
- A hozzászóláshoz be kell jelentkezni