Samba + Router + PortForward = StealthPort :(

 ( MrBee | 2006. július 19., szerda - 0:56 )

Sziasztok,

az alábbi problémára keresem már napok óta a megoldást: adott egy coyote-linux -os router, egy samba -s debian és 2 belső hálós illetve x internet felöli gép. A sambás debian megosztása remekül látszik belső hálón ,belülről egy másik gépről nmap-al szemlélve ez látszik:

PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2006/tcp open invokator --ez az ssh még szó lesz róla is...

Hát erre fel gondoltam vala, hogy nosza egy port forward a routeren és kívülről is látszik majd remekül a sambás debian. Sajnos nem így van :( Az ssh-s kapcsolódás remekül megy, ott működik a port forward, ellenben a grc.com alias ShieldsUp! szerint is:
Port Status Protocol and Application
139 Stealth netbios-ssn NETBIOS Session Service
pl a 139-es port láthatatlan, ugyanakkor a 2006-os ami az ssh-lett vígan open...
Ez vajh miért van?
Kivonat a Coyote PortForward részlegéből, hátha valakinek mondd valamit:

auto Y tcp 139 192.168.1.66 dns #Debian-file
auto Y tcp 445 192.168.1.66 dns #Debian-file
auto Y tcp 2006 192.168.1.66 dns #Debian-ssh
auto Y udp 445 192.168.1.66 dns #Debian-file

Ami a samba-t illeti a Workgroup mindenhol uaz, nekem ő is gyanús, hogy talán valamiért kivételt tenne a router felöl jövő kérelmeknél.. passz... :( szerintetek mi lenne a jó tesztelési, hibaelhárítási stratégia? Előre is köszönet, már csak azért is, hogy ezt a sok szöveget elolvastad:)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Látom kicsi a lelkesedés a probléma iránt, vagy a szükséges szürkeállomány tulajdonosai még alszanak:) szóval megoldás lehetne még a jó öreg tunneling SSH-n keresztül. Ezzel csak egy probléma volna, hogy a távoli /Internet felöli/ kliens M$ alapú, s nem tudodm, hogy meg lehet e értetni a windózzal, /egy külön tűzfal nélkül ami kihámozná az SSH-ból a 139 és 445 ös portok anyagát/, hogy a hálózati meghajtó bizony cselesen érhető el?! Ez már egy VPN-es megoldás lenne, még a biztonsági szint is feljebb kúszna, ja és az ssh, na aaaaz megy :) ... Tapasztalatok?

Köszönet

- www.horvtoys.ini.hu -

Hát nem szakértő vagyok, főleg nem PortForwarding-ban, de ha jól tudom egy MS Win workgroup esetén a gépeknek ugyanabban az IP range-ben kell lenniük, vagy tévedek? A munkacsoport név még nem elég..... NetBios üzenetszórás témakör, de csak tálálgatok.

Attila

Kapcsolódva az előttem szólóhoz: tudtommal az SMB protokoll az NEM routolható, csak mindeféle trükközések árán (ld.: Using Samba). A másik alapvető dolog az hogy a Samba konfigjában is korlátozható az hogy mely hálókártyán milyen alhálózat felé kommunikáljon kizárólagosan.

:) hálás köszönet, akkor elkezdek az smb configban kutakodni, további fejlemény: egy távoli linus gépről az alábbi debug level mellett látható, hogy hol áll meg a tudomány:)
#smbclient -d 5 -W SANSZ //86.xxx.63.xxx/
.
.
.
my_netbios_names[0]="ZEUS"
Client started (version 3.0.14a-Debian).
Connecting to 86.xxx.63.xx at port 445
timeout connecting to 86.xxx.63.xxx:445
Connecting to 86.xxx.63.xxx at port 139
timeout connecting to 86.xxx.63.xxx:139
Error connecting to 86.xxx.63.xxx (Operation already in progress)
Connection to 86.xxx.63.xxx failed

ugyanez helyben:
...
Connecting to 86.xxx.63.xxx at port 445
socket option SO_KEEPALIVE = 0
...és már megy is.
Nmap helyi gépről
nmap -v 86.xxx.63.xxx
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Tehát HA minden igaz akkor most már végre nyitva vannak a csatrák és a csí áramolhatna ki meg be /báár a ShieldsUp szerint még mindíg sehol a két port/ de úgy gondolom, ha belső hálóról a router külső ip-jét /nem a kezdeti hozzászólásban látott samba serverét/ nmap-olom akkor "elviekben" a tényleges állást kéne mutassa. :)
Ergo maradt a VPN /esetleg ha valaki windózban otthon van, hogy ezzel miként tudna megbarátkozni...:) / vagy a samba háza táján való kutakodás.

- www.horvtoys.ini.hu -

OpenVPN -ről van valami véleményetek? Talán ő volna a megoldás?

- www.horvtoys.ini.hu -

Please url bbcode vagy valami! Szétnyomja az oldalt ez a benga link. :-)

Hátőőő :)

bocsesz :)
de ez nem bug, ez feature

- www.horvtoys.ini.hu -