Zum Inhalt springen

IPtables -> Samba freigeben


Empfohlene Beiträge

Geschrieben

Moin,

ich versuche gerade an unsrer Firewall ein wenig rumzubasteln.

Genauer gesagt geht es um 2 Netze :

172.16.2.0/24 -> Server

172.16.3.0/24 -> Notebooks

Das ganze geht über eine Firewall, die Kontakt zu jedem Netz und ins Internet hat.

Die Notebooks sollen nur Samba-Zugriff haben, ansonsten nichts. Kein HTTP,FTP, etc. .

Folgende Regeln habe ich erstellt :

        SERVER="172.16.2.0/24"

        NOTEBOOK="172.16.3.0/24"


        $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 137 -j ACCEPT

        $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 138 -j ACCEPT

        $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 139 -j ACCEPT

        $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 137 -j ACCEPT

        $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 138 -j ACCEPT

        $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 139 -j ACCEPT

        $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 901 -j ACCEPT

        $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 901 -j ACCEPT


        $IPTABLES -A FORWARD -s $NOTEBOOK -j REJECT

Nun kriege ich keine Verbindung zum Samba-Server hin, ich gebe das Netzlaufwerk an und er versucht ewig zu verbinden.

Habe ich irgendwelche Ports übersehen ?

wie kann ich in den IPTables den "Ping"-Befehl freigeben ( möglichst nur diesen ) ?

Geschrieben

Nun kriege ich keine Verbindung zum Samba-Server hin, ich gebe das Netzlaufwerk an und er versucht ewig zu verbinden.

Habe ich irgendwelche Ports übersehen ?

Du konfigurierst es gerade so, das Verbindungen z.B. nur von Port 137 nach Port 137 erlaubt sind (was in der Realität nicht eintreffen wird).

Desweiteren vergisst du das UDP Protokoll.

Und dann gibt es da noch Port 445 TCP...

Falls du noch nicht weisst, warum es nicht geht/gehen kann, melden...

Geschrieben

japp sourceport bei verbindungen notebook --> server muss sein >1000 (also ausserhalb der well known ports) und den 445 nich vergessen ;)

folgendes läuft bei mir in dem bereich (ich habs nen bisserl aufgeteilt und nicht alles in einer chain, aber so versteht man des vielleicht soagr noch besser ;) )

du müsstest das ganze natürlich um deine source und destination ips anpassen


-A in_lan_samba_s3 -p udp -m udp --sport 137 --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A in_lan_samba_s3 -p udp -m udp --sport 1000:65535 --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A in_lan_samba_s3 -p udp -m udp --sport 138 --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A in_lan_samba_s3 -p udp -m udp --sport 1000:65535 --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A in_lan_samba_s3 -p tcp -m tcp --sport 1000:65535 --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A in_lan_samba_s3 -p tcp -m tcp --sport 1000:65535 --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT


---

-A out_lan_samba_s3 -p udp -m udp --sport 137 --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A out_lan_samba_s3 -p udp -m udp --sport 137 --dport 1000:65535 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A out_lan_samba_s3 -p udp -m udp --sport 138 --dport 138 -m state --state ESTABLISHED -j ACCEPT 

-A out_lan_samba_s3 -p udp -m udp --sport 138 --dport 1000:65535 -m state --state ESTABLISHED -j ACCEPT 

-A out_lan_samba_s3 -p tcp -m tcp --sport 139 --dport 1000:65535 -m state --state ESTABLISHED -j ACCEPT 

-A out_lan_samba_s3 -p tcp -m tcp --sport 445 --dport 1000:65535 -m state --state ESTABLISHED -j ACCEPT 

Geschrieben

Moin Moin,

erstmal danke für die Hilfe.

Die Firewallregeln von dgr243klappen jetzt erstmal.

Zu meiner Schande muss ich gestehen, das ich das ganze zwar von den Regeln her kapiere, aber den zusammenhang mit Samba noch nicht so ganz ( wieso UDP anstatt TCP etc.

Bin gerde im zweiten Lehrjahr und da heute morgen viel zu tun ist, were ich mich nachher mal intersiver damit beschäftigen.

Aufjedenfall erstmal DANKÖÖÖÖÖÖ

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...