Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[HOW-TO] Samba. Gentoo → Windows 7
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) Polish OTW
View previous topic :: View next topic  
Author Message
nUmer_inaczej
Apprentice
Apprentice


Joined: 24 Apr 2007
Posts: 165
Location: Bydgoszcz

PostPosted: Tue Dec 30, 2014 3:09 pm    Post subject: [HOW-TO] Samba. Gentoo → Windows 7 Reply with quote

Witam serdecznie.
Niejako przy okazji stworzyłem HOW-TO. Sambaa.Gentoo → Windows 7.

Mam nadzieję, że się przyda.

UPDATE: Poradnik został zaktualizowany.


Last edited by nUmer_inaczej on Mon Jan 12, 2015 10:15 pm; edited 1 time in total
Back to top
View user's profile Send private message
Jacekalex
Guru
Guru


Joined: 17 Sep 2009
Posts: 553

PostPosted: Mon Jan 12, 2015 8:41 pm    Post subject: Reply with quote

Quote:
Witam serdecznie.
Niejako przy okazji stworzyłem HOW-TO. Sambaa.Gentoo → Windows 7.


W tutku od Samby stoi jak byk:

Code:
# SAMBA ##
#Akceptowanie połączeń na port udp 137 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol udp --destination-port 137 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port udp 138 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol udp --destination-port 138 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 139 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol tcp --destination-port 139 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 445 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol tcp --destination-port 445 -m
state --state NEW,ESTABLISHED -j ACCEPT


To nie jest z sieci lokalnej, tylko z całego świata, lamerstwo jakich mało.
Żeby było z sieci lokalnej, to musisz filtrować ruch albo po klasie IP źródłowych tej sieci, albo po mac-adresach (jeśli ta sieć lokalna jest spięta jednym switchem), inaczej port masz otwarty na lokalną kulę ziemską i lokalną resztę kosmosu. ;)

Tu masz o adresach sieci prywatnych::
http://pl.wikipedia.org/wiki/IPv4#Prywatne_adresy_IPv4

Quote:
Mam nadzieję, że się przyda.

Jak cały konfig Samby zrobiłeś tak, jak Netfiltera, to tutek się nie przyda nikomu, chyba że na podpałkę do grilla (po wydrukowaniu). ;)

PS:
Masz jeszcze jeden błąd, z netfiltera wyleciał moduł state, zamiast tego jest moduł conntrack.
Składnia:
Code:
iptables  -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


To by było na tyle
8)
Back to top
View user's profile Send private message
nUmer_inaczej
Apprentice
Apprentice


Joined: 24 Apr 2007
Posts: 165
Location: Bydgoszcz

PostPosted: Mon Jan 12, 2015 9:23 pm    Post subject: Reply with quote

Dzięki za odpowiedź. Właśnie problem konfiguracji firewalla przedstawiłem w innym, niższym poście.

Więc ja rozumuję w ten sposób routerem jestem spięty z internetem. Router poprzez serwer DHCP przydziela mi adres IP oraz pozostałym użytkownikom sieci lokalnej z klasy C 192.168.0.100 wzwyż. O ile dla mojego komputera na którym udostępniam zasoby nie został zarezerwowany adres IP - mogę za każdym razem otrzymać inny w przypadku różnej kolejności przydzielenia adresu przez wspomniany serwer DHCP pozostałym użytkownikom podpiętym pod ten router. (Nie zawsze wszyscy będą spinać się z siecią poprzez wifi by korzystać z zasobów)
Zatem wyszedłem z założenia, że nie powinienem w firewallu udostępniającego zasoby ograniczać się do podania możliwie zmiennego IP, tylko do interfejsu eth0.

Dzięki.

EDIT:

czyli ostateczna wersja configuracji firewalla powinna wyglądać jak poniżej, tu dla przykładowego mcadressu:
Code:
## SAMBA ##
#Akceptowanie połączeń na port udp 137 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol udp --destination-port 137 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

#Akceptowanie połączeń na port udp 138 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol udp --destination-port 138 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

#Akceptowanie połączeń na port tcp 139 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol tcp --destination-port 139 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

#Akceptowanie połączeń na port tcp 445 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol tcp --destination-port 445 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

_________________
nUmer w sieci
Back to top
View user's profile Send private message
Jacekalex
Guru
Guru


Joined: 17 Sep 2009
Posts: 553

PostPosted: Tue Jan 13, 2015 3:58 am    Post subject: Reply with quote

Dla mac-adresu tak.

Jeśli potrzebowałbyś wpuścić sieć np 192.168.0.0/24,
to byłoby:

Code:
iptables -I INPUT  -s  192.168.0.0/24 --protocol udp --destination-port 137 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT


Poza tym IMHO nie ma sensu robić dla każdego portu osobnych reguł, lepiej użyć modułu multiport, użycie np (tu w innym charakterze):
Code:
-A PREROUTING ! -i lo -p tcp -m multiport --dports 22,113,445,1433,1512,2175,2176,3306,5432 -j SET --add-set wypad src


W ten sposób skrócisz sprawę do dwóch regułek, po jednej dla tcp i udp.

Jeśli natomiast chciałbyś filtrować po parach adres IP i mac-adres, to ja radziłbym brać ipseta, tablicę bitmap:ip,mac.
http://ipset.netfilter.org/ipset.man.html#lbAO
W nim zmieścisz nawet 60 tys wpisów, a FW i tak będzie widział to jako jedną regułkę.
Taka opcja jest dostępna, jeśli wszystkie kompy mają zawsze te same adresy IP, niezależnie od tego, jak je otrzymały.
W każdym routerze, jaki w życiu widziałem, można ustawić statycznie w dhcp pary adres Ip -mac-adres, żeby kompy w lanie można było wywoływać przykładowo po nazwach z /etc/hosts, albo użyć lokalnego serwera DNS dla sieci LAN.


Przy okazji, jak ten tutek ma przeżyć kilka lat, to przygotuj się do zmiany firewalla z iptables na nftables.
Za jakiś rok taka zmiana w Linuxie stanie się faktem.
http://wiki.nftables.org/wiki-nftables/index.php/Main_Page

IPv6 też się przyda w nieodległej przyszłości.

Pozdro
8)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) Polish OTW All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum