samba szórás átirányítás iptables-es mögötti gépre

Hálózatok egyéb

Szisztok!

Van egy Windows-os gépekből álló hálózat, ehhez kapcsolódik egy iptables-es tűzfal. A tűzfalhoz pedig egy samba szerver.
Azt kéne megoldani, hogy a Win.-es gépek lássák/megtalálják a samba-t.Egy kis rajz a hálózatról, hátha így érthetőbb: 


                                             10.0.0.0/8               
         +----------------------+        +----------------+           
         |        192.168.76.254|        |10.0.0.128      |10.0.0.1  
         |                  +---O--------O---+        +---O----------+
---------+----------        | iptables-es    |        | samba        |
  192.168.76.0/24           | tűzfal         |        | szerver      |
   Win.-es gépek            +----------------+        +--------------+

Amivel már próbálkoztam, de nem ment: 

iptables -t nat -A PREROUTING -d 192.168.76.255 -p udp --dport 137 -j DNAT --to-destination 10.0.0.1

ugyanez 138, 139, 445udp és 445tcp -vel. Nem ment.
A tűzfal gépen iptraf-al láttam az udp-s csomagokat.

Mivel nem ment, meg próbáltam ezt: 

iptables -t nat -A PREROUNTG -j DNAT 10.0.0.1

Itt, ha jól tudom, az összes csomagot a 10.0.0.1-re kellene NAT-olnia, pedig az ssh kapcsolat fennmaradt, és ugyanúgy láttam a csomagokat iptraf-al.
A samba szerveren semmit en láttam iptraf-al.

Remélem elég infót írtam le, a segítséget előre is köszönöm.

  • 1246 megtekintés

( aperger | 2009. 03. 11., sze – 00:19 )

ha jól tudom: a Windows-os NetBios/Samba/CIFS protokol a hálózat böngészését broadcast üzenet szórással térképezi fel. Ha a gépek nincsenek egy Netmaszk alatt nem is látják egymást még egy-azon fizikai hálózat esetén sem. Ezt biztos, hogy WINS szerverekkel kell megoldani. Tehát a WIN-es képek számára meg kell adni a SAMBA szerver címét mind WINS szerver, és biztosítani a route-olást (GW = 192.168.76.254), az adott géphez. A Samba gépek számára ugyan ez, csak a 10-esből kell route a 192-es hálózatba (GW: 10.0.0.128). Értelem szerűen az általad említett portokat át kell engednie a tűzfalnak.

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"

Nem tudom hogy a le lehet-e ezt kezelni egy tűzfallal, de olvasatom szerint nagy forgalom ha egy helyi háló broadcast üzeneteit kinyomjuk egy külsőbe.

Ez talán segít milyen címeket és protokollokat kell figyelni:
http://www.firewall.cx/broadcast.php

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"

( hrgy84 | 2009. 03. 11., sze – 12:21 )

Miért van olyan érzésem, hogy birkavesével szeretnél földrengést?
Nagyon egyszerű a megoldás, WINS-t kell használni, a DHCP szervernek meg megmondani, hogy a WINS szerver címét is hirdesse minden hozzá fordulónak. Ha ilyent nem használtok, akkor pedig opció van minden ismert gép esetében a WINS szerver beállítására. Arra figyelj, hogy a gépeken a sorrendben a WINS-t nézze először.

Ja, és a samba szervernek meg kell mondani, hogy te fiam, WINS szerver vagy.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.