URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 44259
[ Назад ]

Исходное сообщение
"ipfw и самба."
Отправлено Phoenix82 , 21-Май-04 20:32

имею freeBSD 5.2.1, самба сервер samba 2.2.8a
ядро собрано с поддержкой файрвола.
проблемма в том, что как я включаю ipfw, так перестает работать самба.
причем, можно зайти по ip адресу \\192.168.1.9\ но по имени (тому, что прописан в самбе), типа \\server1\ не хочет.
такоен ощущение, что ipwf рубит броадкаст подключения.
tcpdump на сервере выводит
20:09:42.610133 192.168.1.4.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
правила ipfw
ipfw add 1000 allow ip from 192.168.1.1/24 to 192.168.1.99
ipfw add 1100 allow ip from 192.168.1.99 to 192.168.1.1/24
---
как толко перегружаю ФРИ без файрвола, все начинает работать как нада....

Содержание

ipfw и самба.,virus_net, 21:05 , 21-Май-04
- ipfw и самба.,DENNN, 16:57 , 22-Май-04
  - ipfw и самба.,Phoenix82, 17:10 , 22-Май-04
    - ipfw и самба.,kolayshkin, 10:19 , 23-Май-04
      - ipfw и самба.,Ivan, 12:58 , 23-Май-04
        
        ipfw и самба.,kolayshkin, 13:07 , 23-Май-04
        
        ipfw и самба.,kapiton, 14:10 , 23-Май-04
      - ipfw и самба.,Phoenix82, 17:58 , 24-Май-04

Сообщения в этом обсуждении

"ipfw и самба."
Отправлено virus_net , 21-Май-04 21:05

а ты проскань nmap`ом порты с включенным фаирволом и без него
посмотри в чем разница.
или добавь правило так что бы при его отработке данные пихались в лог.
например:
ipfw add 1000 deny log ip from any to any
далее смотри /var/log/security
а так man ipfw, поиск по "log"
---------
http://www.virus-net.ru

"ipfw и самба."
Отправлено DENNN , 22-Май-04 16:57

А сами нетбиос порты 135 и 137-139 открыты в файрволле?

"ipfw и самба."
Отправлено Phoenix82 , 22-Май-04 17:10

>А сами нетбиос порты 135 и 137-139 открыты в файрволле?
да в том то и дело, что да открыты. Открыта полностью вся подсеть, откудова я хочу разрешить подсоединения по нетбиос.
правил примерно такие.
#!/bin/sh
fw=/sbin/ipfw
ip=192.168.1.99
mask=255.255.255.0
net=192.168.1.1/24
$fw add 100 allow ip from any to any via lo0
$fw add 110 deny ip from any to 127.0.0.0/8
$fw add 120 deny ip from 127.0.0.0/8 to any
$fw add 300 allow tcp from any to any established
$fw add 310 allow ip from any to any frag
$fw add 1000 allow ip from $net to $ip
$fw add 1100 allow ip from $ip to $net
$fw add 1000 allow tcp from $net to $ip setup
$fw add 1100 allow tcp from $ip to $net setup
$fw add 1000 allow udp from $net to $ip keep-state
$fw add 1100 allow udp from $ip to $net keep-state
$fw add 2000 allow tcp from $ip to any 53 setup
$fw add 2010 allow udp from $ip to any 53 keep-state
$fw add 10000 allow ip from $ip to any
$fw add 65530 deny ip from any to any
-------
Причем, как я уже сказал, я могу подконнектиться по bg адресу с самбе. те, в винде \\192.168.1.99\, но вот по имени не получается.
такое ощущение, что проблемма с netbios-ns, домен запущен, это точно.
скорее не проходят броадкаст запросы, которые винда посылает в сеть для разрешения нетбиос имен.
и, судя по всему, блокируются они как то файрволом. а как, непойму...

"ipfw и самба."
Отправлено kolayshkin , 23-Май-04 10:19

Каким образом находиться компьютер с именем NAME?
Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP "я NAME"
надо добавить
ipfw add (х) allow udp from 192.168.1.1/24 137,138,139 to 192.168.1.1/24 137,138,139
У тебя просто пакеты эти отбрасываються. Я и сам на этом накалолся, но надо просто получше читать теорию построения сетей

"ipfw и самба."
Отправлено Ivan , 23-Май-04 12:58

>Каким образом находиться компьютер с именем NAME?
>Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес
>назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP
>"я NAME"
Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с помощью мастер броузера, коим становиться один из компьютеров в сети - он-то и хранит список соответствий ip-имя.

"ipfw и самба."
Отправлено kolayshkin , 23-Май-04 13:07

>Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с
>помощью мастер броузера, коим становиться один из компьютеров в сети -
>он-то и хранит список соответствий ip-имя.
Сразу скажу, что я не очень большой специалист в сетях MS. А кто у тебя мастер броузер?

"ipfw и самба."
Отправлено kapiton , 23-Май-04 14:10

>>Извинте, пожалуйста, разве так? Я всегда считал, что имя компьютера ресолвиться с
>>помощью мастер броузера, коим становиться один из компьютеров в сети -
>>он-то и хранит список соответствий ip-имя.
хе хе..так и есть тока обращаются к нему через брэдкост....это если на нем WINS не стоит, а если WINS настроен то тогды напрямую...

"ipfw и самба."
Отправлено Phoenix82 , 24-Май-04 17:58

>Каким образом находиться компьютер с именем NAME?
>Посылаеться широковещательный(!) запрос c вопросом "а кто такой NAME?" , те адрес
>назначения 192.168.1.255 (!), и после этого приходит ответ с уникальным IP
>"я NAME"
>надо добавить
>ipfw add (х) allow udp from 192.168.1.1/24 137,138,139 to 192.168.1.1/24 137,138,139
>У тебя просто пакеты эти отбрасываються. Я и сам на этом накалолся,
>но надо просто получше читать теорию построения сетей
Спасибо. Именно в этом и было дело. После добавления подобной строчки в ipfw проблемма была решена.