forum.opennet.ru - "ipfw и самба." (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw и самба."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw и самба."
Сообщение от Phoenix82 (ok) on 21-Май-04, 20:32 (MSK)
имею freeBSD 5.2.1, самба сервер samba 2.2.8a ядро собрано с поддержкой файрвола. проблемма в том, что как я включаю ipfw, так перестает работать самба. причем, можно зайти по ip адресу \\192.168.1.9\ но по имени (тому, что прописан в самбе), типа \\server1\ не хочет. такоен ощущение, что ipwf рубит броадкаст подключения. tcpdump на сервере выводит 20:09:42.610133 192.168.1.4.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST правила ipfw ipfw add 1000 allow ip from 192.168.1.1/24 to 192.168.1.99 ipfw add 1100 allow ip from 192.168.1.99 to 192.168.1.1/24 --- как толко перегружаю ФРИ без файрвола, все начинает работать как нада....
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw и самба., virus_net, 21:05 , 21-Май-04, (1)
- ipfw и самба., DENNN, 16:57 , 22-Май-04, (2)
  - ipfw и самба., Phoenix82, 17:10 , 22-Май-04, (3)
    - ipfw и самба., kolayshkin, 10:19 , 23-Май-04, (4)
      - ipfw и самба., Ivan, 12:58 , 23-Май-04, (5)
        
        ipfw и самба., kolayshkin, 13:07 , 23-Май-04, (6)
        
        ipfw и самба., kapiton, 14:10 , 23-Май-04, (7)
      - ipfw и самба., Phoenix82, 17:58 , 24-Май-04, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw и самба."

Сообщение от virus_net (??) on 21-Май-04, 21:05  (MSK)

а ты проскань nmap`ом порты с включенным фаирволом и без него
посмотри в чем разница.
или добавь правило так что бы при его отработке данные пихались в лог.
например:
ipfw add 1000 deny log ip from any to any
далее смотри /var/log/security
а так man ipfw, поиск по "log"
---------
http://www.virus-net.ru

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw и самба."

Сообщение от DENNN (??) on 22-Май-04, 16:57  (MSK)

А сами нетбиос порты 135 и 137-139 открыты в файрволле?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw и самба."

Сообщение от Phoenix82 (ok) on 22-Май-04, 17:10  (MSK)

>А сами нетбиос порты 135 и 137-139 открыты в файрволле?
да в том то и дело, что да открыты. Открыта полностью вся подсеть, откудова я хочу разрешить подсоединения по нетбиос.
правил примерно такие.
#!/bin/sh
fw=/sbin/ipfw
ip=192.168.1.99
mask=255.255.255.0
net=192.168.1.1/24
$fw add 100 allow ip from any to any via lo0
$fw add 110 deny ip from any to 127.0.0.0/8
$fw add 120 deny ip from 127.0.0.0/8 to any
$fw add 300 allow tcp from any to any established
$fw add 310 allow ip from any to any frag
$fw add 1000 allow ip from $net to $ip
$fw add 1100 allow ip from $ip to $net
$fw add 1000 allow tcp from $net to $ip setup
$fw add 1100 allow tcp from $ip to $net setup
$fw add 1000 allow udp from $net to $ip keep-state
$fw add 1100 allow udp from $ip to $net keep-state
$fw add 2000 allow tcp from $ip to any 53 setup
$fw add 2010 allow udp from $ip to any 53 keep-state
$fw add 10000 allow ip from $ip to any
$fw add 65530 deny ip from any to any
-------
Причем, как я уже сказал, я могу подконнектиться по bg адресу с самбе. те, в винде \\192.168.1.99\, но вот по имени не получается.
такое ощущение, что проблемма с netbios-ns, домен запущен, это точно.
скорее не проходят броадкаст запросы, которые винда посылает в сеть для разрешения нетбиос имен.
и, судя по всему, блокируются они как то файрволом. а как, непойму...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw и самба."

Сообщение от kolayshkin (??) on 23-Май-04, 10:19  (MSK)

Каким образом находиться компьютер с именем NAME?
Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP "я NAME"
надо добавить
ipfw add (х) allow udp from 192.168.1.1/24 137,138,139 to 192.168.1.1/24 137,138,139
У тебя просто пакеты эти отбрасываються. Я и сам на этом накалолся, но надо просто получше читать теорию построения сетей

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw и самба."

Сообщение от Ivan (??) on 23-Май-04, 12:58  (MSK)

>Каким образом находиться компьютер с именем NAME?
>Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес
>назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP
>"я NAME"
Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с помощью мастер броузера, коим становиться один из компьютеров в сети - он-то и хранит список соответствий ip-имя.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw и самба."

Сообщение от kolayshkin (??) on 23-Май-04, 13:07  (MSK)

>Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с
>помощью мастер броузера, коим становиться один из компьютеров в сети -
>он-то и хранит список соответствий ip-имя.
Сразу скажу, что я не очень большой специалист в сетях MS. А кто у тебя мастер броузер?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw и самба."

Сообщение от kapiton (ok) on 23-Май-04, 14:10  (MSK)

>>Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с
>>помощью мастер броузера, коим становиться один из компьютеров в сети -
>>он-то и хранит список соответствий ip-имя.
хе хе..так и есть тока обращаются к нему через брэдкост....это если на нем WINS не стоит, а если WINS настроен то тогды напрямую...

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw и самба."

Сообщение от Phoenix82 (ok) on 24-Май-04, 17:58  (MSK)

>Каким образом находиться компьютер с именем NAME?
>Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес
>назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP
>"я NAME"
>надо добавить
>ipfw add (х) allow udp from 192.168.1.1/24 137,138,139 to 192.168.1.1/24 137,138,139
>У тебя просто пакеты эти отбрасываються. Я и сам на этом накалолся,
>но надо просто получше читать теорию построения сетей
Спасибо. Именно в этом и было дело. После добавления подобной строчки в ipfw проблемма была решена.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw и самба."
Сообщение от virus_net (??) on 21-Май-04, 21:05 (MSK)
а ты проскань nmap`ом порты с включенным фаирволом и без него посмотри в чем разница. или добавь правило так что бы при его отработке данные пихались в лог. например: ipfw add 1000 deny log ip from any to any далее смотри /var/log/security а так man ipfw, поиск по "log" --------- http://www.virus-net.ru
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw и самба."
	Сообщение от DENNN (??) on 22-Май-04, 16:57 (MSK)
	А сами нетбиос порты 135 и 137-139 открыты в файрволле?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw и самба."
	Сообщение от Phoenix82 (ok) on 22-Май-04, 17:10 (MSK)
	>А сами нетбиос порты 135 и 137-139 открыты в файрволле? да в том то и дело, что да открыты. Открыта полностью вся подсеть, откудова я хочу разрешить подсоединения по нетбиос. правил примерно такие. #!/bin/sh fw=/sbin/ipfw ip=192.168.1.99 mask=255.255.255.0 net=192.168.1.1/24 $fw add 100 allow ip from any to any via lo0 $fw add 110 deny ip from any to 127.0.0.0/8 $fw add 120 deny ip from 127.0.0.0/8 to any $fw add 300 allow tcp from any to any established $fw add 310 allow ip from any to any frag $fw add 1000 allow ip from $net to $ip $fw add 1100 allow ip from $ip to $net $fw add 1000 allow tcp from $net to $ip setup $fw add 1100 allow tcp from $ip to $net setup $fw add 1000 allow udp from $net to $ip keep-state $fw add 1100 allow udp from $ip to $net keep-state $fw add 2000 allow tcp from $ip to any 53 setup $fw add 2010 allow udp from $ip to any 53 keep-state $fw add 10000 allow ip from $ip to any $fw add 65530 deny ip from any to any ------- Причем, как я уже сказал, я могу подконнектиться по bg адресу с самбе. те, в винде \\192.168.1.99\, но вот по имени не получается. такое ощущение, что проблемма с netbios-ns, домен запущен, это точно. скорее не проходят броадкаст запросы, которые винда посылает в сеть для разрешения нетбиос имен. и, судя по всему, блокируются они как то файрволом. а как, непойму...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw и самба."
	Сообщение от kolayshkin (??) on 23-Май-04, 10:19 (MSK)
	Каким образом находиться компьютер с именем NAME? Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP "я NAME" надо добавить ipfw add (х) allow udp from 192.168.1.1/24 137,138,139 to 192.168.1.1/24 137,138,139 У тебя просто пакеты эти отбрасываються. Я и сам на этом накалолся, но надо просто получше читать теорию построения сетей
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw и самба."
	Сообщение от Ivan (??) on 23-Май-04, 12:58 (MSK)
	>Каким образом находиться компьютер с именем NAME? >Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес >назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP >"я NAME" Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с помощью мастер броузера, коим становиться один из компьютеров в сети - он-то и хранит список соответствий ip-имя.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw и самба."
	Сообщение от kolayshkin (??) on 23-Май-04, 13:07 (MSK)
	>Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с >помощью мастер броузера, коим становиться один из компьютеров в сети - >он-то и хранит список соответствий ip-имя. Сразу скажу, что я не очень большой специалист в сетях MS. А кто у тебя мастер броузер?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw и самба."
	Сообщение от kapiton (ok) on 23-Май-04, 14:10 (MSK)
	>>Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с >>помощью мастер броузера, коим становиться один из компьютеров в сети - >>он-то и хранит список соответствий ip-имя. хе хе..так и есть тока обращаются к нему через брэдкост....это если на нем WINS не стоит, а если WINS настроен то тогды напрямую...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw и самба."
	Сообщение от Phoenix82 (ok) on 24-Май-04, 17:58 (MSK)
	>Каким образом находиться компьютер с именем NAME? >Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес >назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP >"я NAME" >надо добавить >ipfw add (х) allow udp from 192.168.1.1/24 137,138,139 to 192.168.1.1/24 137,138,139 >У тебя просто пакеты эти отбрасываються. Я и сам на этом накалолся, >но надо просто получше читать теорию построения сетей Спасибо. Именно в этом и было дело. После добавления подобной строчки в ipfw проблемма была решена.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх