forum.opennet.ru - "NBT в IPFW" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NBT в IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NBT в IPFW"
Сообщение от zyakwa (ok) on 05-Дек-05, 12:39 (MSK)
Добрый день. Очень прошу помощи, хотя бы в указании направления, куда копать. Ситуация: FreeBSD 5.4, Samba 3, IPFW, серая сетка без DNS. Пользователи из-под Windows обращаются на файл-сервер по его hostname. При включении файрвола даже в режиме OPEN (когда allow ip any to any) "режутся" широковещательные NBT-запросы. Т.о. к серверу можно обратиться только по IP-адресу. Насколько мне известно, NBT – это NetBUEI, инкапсулированный в IP. Снифер тоже подтверждает, что NBT – это IP пакет. Однако файрвол их «режет» (повторюсь: даже при полностью открытом IP-трафике). Nmblookup, запущенный на сервере, не разрешает даже собственное имя! Разрешение имени начинает работать только после выгрузки файрвола. В чем дело? Как разрешить NBT в IPFW? Может, кто-то сталкивался? Поиски в инете успеха не принесли. Заранее спасибо за любую подсказку.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

NBT в IPFW, zedi, 12:46 , 05-Дек-05, (1)

NBT в IPFW, kkekk, 12:57 , 05-Дек-05, (2)

NBT в IPFW, zyakwa, 13:13 , 05-Дек-05, (4)

NBT в IPFW, zyakwa, 13:11 , 05-Дек-05, (3)

NBT в IPFW, dm, 13:34 , 05-Дек-05, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "NBT в IPFW"

Сообщение от zedi (??) on 05-Дек-05, 12:46  (MSK)

Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено проверь эту сторону. Во вторых как ты пересобирал ядро с подержкой IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет  то попробуй собрать с этой опцией и посмотреть будет ли работать. И последнее смотри что в логи пишет файрвол хотябы когда  делаешь allow ip any to any

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NBT в IPFW"

Сообщение от kkekk on 05-Дек-05, 12:57  (MSK)

РАЗРЕШИ НЕТБИОС ЧЕРЕЗ ТСП В ХП (КАКИЕ СТРАШНЫЕ СЛОВА 8=)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "NBT в IPFW"

Сообщение от zyakwa (ok) on 05-Дек-05, 13:13  (MSK)

>РАЗРЕШИ НЕТБИОС ЧЕРЕЗ ТСП В ХП (КАКИЕ СТРАШНЫЕ СЛОВА 8=)
Спасибо, попробую.
Но все-таки непонятно, отчего сервер даже сам себя не опознает nmblookup-ом? Тут ведь ХПя уже ни при чем.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "NBT в IPFW"

Сообщение от zyakwa (ok) on 05-Дек-05, 13:11  (MSK)

>Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено
>проверь эту сторону.
Может, что-то не допонимаю, но ведь NetBUEI вообще не из стека TCP/IP? Именно поэтому для совместимости сделан NBT - NetBUEI, завернутый в IP.
Если что-то не так сказала, поправьте, плз.
>Во вторых как ты пересобирал ядро с подержкой
>IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет  то попробуй собрать
>с этой опцией и посмотреть будет ли работать. И последнее смотри
>что в логи пишет файрвол хотябы когда  делаешь allow ip
>any to any
IPFW включен модулем, в ядре не прописан.
Попробую пересобрать ядро с файрволом.
Спасибо :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NBT в IPFW"

Сообщение от dm (??) on 05-Дек-05, 13:34  (MSK)

>>Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено
>>проверь эту сторону.
>
>Может, что-то не допонимаю, но ведь NetBUEI вообще не из стека TCP/IP?
>Именно поэтому для совместимости сделан NBT - NetBUEI, завернутый в IP.
>
>Если что-то не так сказала, поправьте, плз.
>
>>Во вторых как ты пересобирал ядро с подержкой
>>IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет  то попробуй собрать
>>с этой опцией и посмотреть будет ли работать. И последнее смотри
>>что в логи пишет файрвол хотябы когда  делаешь allow ip
>>any to any
>
>IPFW включен модулем, в ядре не прописан.
>Попробую пересобрать ядро с файрволом.
эээ.. а прописать последнее правило как ipfw add 65534 deny log all from any to any и
sysctl net.inet.ip.fw.verbose=1
sysctl net.inet.ip.fw.verbose_limit=100
посмотреть в /var/log/security что и каким правилом блокируется
главное чтобы не было правил блокирующих all до 65534. по идеи такое правило (в вашем случае) должно быть одно 65535

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NBT в IPFW"
Сообщение от zedi (??) on 05-Дек-05, 12:46 (MSK)
Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено проверь эту сторону. Во вторых как ты пересобирал ядро с подержкой IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет то попробуй собрать с этой опцией и посмотреть будет ли работать. И последнее смотри что в логи пишет файрвол хотябы когда делаешь allow ip any to any
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "NBT в IPFW"
	Сообщение от kkekk on 05-Дек-05, 12:57 (MSK)
	РАЗРЕШИ НЕТБИОС ЧЕРЕЗ ТСП В ХП (КАКИЕ СТРАШНЫЕ СЛОВА 8=)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "NBT в IPFW"
	Сообщение от zyakwa (ok) on 05-Дек-05, 13:13 (MSK)
	>РАЗРЕШИ НЕТБИОС ЧЕРЕЗ ТСП В ХП (КАКИЕ СТРАШНЫЕ СЛОВА 8=) Спасибо, попробую. Но все-таки непонятно, отчего сервер даже сам себя не опознает nmblookup-ом? Тут ведь ХПя уже ни при чем.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "NBT в IPFW"
	Сообщение от zyakwa (ok) on 05-Дек-05, 13:11 (MSK)
	>Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено >проверь эту сторону. Может, что-то не допонимаю, но ведь NetBUEI вообще не из стека TCP/IP? Именно поэтому для совместимости сделан NBT - NetBUEI, завернутый в IP. Если что-то не так сказала, поправьте, плз. >Во вторых как ты пересобирал ядро с подержкой >IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет то попробуй собрать >с этой опцией и посмотреть будет ли работать. И последнее смотри >что в логи пишет файрвол хотябы когда делаешь allow ip >any to any IPFW включен модулем, в ядре не прописан. Попробую пересобрать ядро с файрволом. Спасибо :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "NBT в IPFW"
	Сообщение от dm (??) on 05-Дек-05, 13:34 (MSK)
	>>Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено >>проверь эту сторону. > >Может, что-то не допонимаю, но ведь NetBUEI вообще не из стека TCP/IP? >Именно поэтому для совместимости сделан NBT - NetBUEI, завернутый в IP. > >Если что-то не так сказала, поправьте, плз. > >>Во вторых как ты пересобирал ядро с подержкой >>IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет то попробуй собрать >>с этой опцией и посмотреть будет ли работать. И последнее смотри >>что в логи пишет файрвол хотябы когда делаешь allow ip >>any to any > >IPFW включен модулем, в ядре не прописан. >Попробую пересобрать ядро с файрволом. эээ.. а прописать последнее правило как ipfw add 65534 deny log all from any to any и sysctl net.inet.ip.fw.verbose=1 sysctl net.inet.ip.fw.verbose_limit=100 посмотреть в /var/log/security что и каким правилом блокируется главное чтобы не было правил блокирующих all до 65534. по идеи такое правило (в вашем случае) должно быть одно 65535
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]