Witam serdecznie.
Niejako przy okazji stworzyłem HOW-TO. Sambaa.Gentoo → Windows 7.
Mam nadzieję, że się przyda.
UPDATE: Poradnik został zaktualizowany.
[HOW-TO] Samba. Gentoo → Windows 7
Moderator: SlashBeast
Message
- nUmer_inaczej
- Apprentice
- Posts: 165
- Joined: Tue Apr 24, 2007 12:26 am
- Location: Bydgoszcz
[HOW-TO] Samba. Gentoo → Windows 7
Last edited by nUmer_inaczej on Mon Jan 12, 2015 10:15 pm, edited 1 time in total.
W tutku od Samby stoi jak byk:Witam serdecznie.
Niejako przy okazji stworzyłem HOW-TO. Sambaa.Gentoo → Windows 7.
Code: Select all
# SAMBA ##
#Akceptowanie połączeń na port udp 137 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol udp --destination-port 137 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port udp 138 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol udp --destination-port 138 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 139 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol tcp --destination-port 139 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 445 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol tcp --destination-port 445 -m
state --state NEW,ESTABLISHED -j ACCEPTŻeby było z sieci lokalnej, to musisz filtrować ruch albo po klasie IP źródłowych tej sieci, albo po mac-adresach (jeśli ta sieć lokalna jest spięta jednym switchem), inaczej port masz otwarty na lokalną kulę ziemską i lokalną resztę kosmosu.
Tu masz o adresach sieci prywatnych::
http://pl.wikipedia.org/wiki/IPv4#Prywatne_adresy_IPv4
Jak cały konfig Samby zrobiłeś tak, jak Netfiltera, to tutek się nie przyda nikomu, chyba że na podpałkę do grilla (po wydrukowaniu).Mam nadzieję, że się przyda.
PS:
Masz jeszcze jeden błąd, z netfiltera wyleciał moduł state, zamiast tego jest moduł conntrack.
Składnia:
Code: Select all
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
- nUmer_inaczej
- Apprentice
- Posts: 165
- Joined: Tue Apr 24, 2007 12:26 am
- Location: Bydgoszcz
Dzięki za odpowiedź. Właśnie problem konfiguracji firewalla przedstawiłem w innym, niższym poście.
Więc ja rozumuję w ten sposób routerem jestem spięty z internetem. Router poprzez serwer DHCP przydziela mi adres IP oraz pozostałym użytkownikom sieci lokalnej z klasy C 192.168.0.100 wzwyż. O ile dla mojego komputera na którym udostępniam zasoby nie został zarezerwowany adres IP - mogę za każdym razem otrzymać inny w przypadku różnej kolejności przydzielenia adresu przez wspomniany serwer DHCP pozostałym użytkownikom podpiętym pod ten router. (Nie zawsze wszyscy będą spinać się z siecią poprzez wifi by korzystać z zasobów)
Zatem wyszedłem z założenia, że nie powinienem w firewallu udostępniającego zasoby ograniczać się do podania możliwie zmiennego IP, tylko do interfejsu eth0.
Dzięki.
EDIT:
czyli ostateczna wersja configuracji firewalla powinna wyglądać jak poniżej, tu dla przykładowego mcadressu:
Więc ja rozumuję w ten sposób routerem jestem spięty z internetem. Router poprzez serwer DHCP przydziela mi adres IP oraz pozostałym użytkownikom sieci lokalnej z klasy C 192.168.0.100 wzwyż. O ile dla mojego komputera na którym udostępniam zasoby nie został zarezerwowany adres IP - mogę za każdym razem otrzymać inny w przypadku różnej kolejności przydzielenia adresu przez wspomniany serwer DHCP pozostałym użytkownikom podpiętym pod ten router. (Nie zawsze wszyscy będą spinać się z siecią poprzez wifi by korzystać z zasobów)
Zatem wyszedłem z założenia, że nie powinienem w firewallu udostępniającego zasoby ograniczać się do podania możliwie zmiennego IP, tylko do interfejsu eth0.
Dzięki.
EDIT:
czyli ostateczna wersja configuracji firewalla powinna wyglądać jak poniżej, tu dla przykładowego mcadressu:
Code: Select all
## SAMBA ##
#Akceptowanie połączeń na port udp 137 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol udp --destination-port 137 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port udp 138 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol udp --destination-port 138 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 139 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol tcp --destination-port 139 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 445 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol tcp --destination-port 445 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
Dla mac-adresu tak.
Jeśli potrzebowałbyś wpuścić sieć np 192.168.0.0/24,
to byłoby:
Poza tym IMHO nie ma sensu robić dla każdego portu osobnych reguł, lepiej użyć modułu multiport, użycie np (tu w innym charakterze):
W ten sposób skrócisz sprawę do dwóch regułek, po jednej dla tcp i udp.
Jeśli natomiast chciałbyś filtrować po parach adres IP i mac-adres, to ja radziłbym brać ipseta, tablicę bitmap:ip,mac.
http://ipset.netfilter.org/ipset.man.html#lbAO
W nim zmieścisz nawet 60 tys wpisów, a FW i tak będzie widział to jako jedną regułkę.
Taka opcja jest dostępna, jeśli wszystkie kompy mają zawsze te same adresy IP, niezależnie od tego, jak je otrzymały.
W każdym routerze, jaki w życiu widziałem, można ustawić statycznie w dhcp pary adres Ip -mac-adres, żeby kompy w lanie można było wywoływać przykładowo po nazwach z /etc/hosts, albo użyć lokalnego serwera DNS dla sieci LAN.
Przy okazji, jak ten tutek ma przeżyć kilka lat, to przygotuj się do zmiany firewalla z iptables na nftables.
Za jakiś rok taka zmiana w Linuxie stanie się faktem.
http://wiki.nftables.org/wiki-nftables/ ... /Main_Page
IPv6 też się przyda w nieodległej przyszłości.
Pozdro
Jeśli potrzebowałbyś wpuścić sieć np 192.168.0.0/24,
to byłoby:
Code: Select all
iptables -I INPUT -s 192.168.0.0/24 --protocol udp --destination-port 137 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT Code: Select all
-A PREROUTING ! -i lo -p tcp -m multiport --dports 22,113,445,1433,1512,2175,2176,3306,5432 -j SET --add-set wypad srcJeśli natomiast chciałbyś filtrować po parach adres IP i mac-adres, to ja radziłbym brać ipseta, tablicę bitmap:ip,mac.
http://ipset.netfilter.org/ipset.man.html#lbAO
W nim zmieścisz nawet 60 tys wpisów, a FW i tak będzie widział to jako jedną regułkę.
Taka opcja jest dostępna, jeśli wszystkie kompy mają zawsze te same adresy IP, niezależnie od tego, jak je otrzymały.
W każdym routerze, jaki w życiu widziałem, można ustawić statycznie w dhcp pary adres Ip -mac-adres, żeby kompy w lanie można było wywoływać przykładowo po nazwach z /etc/hosts, albo użyć lokalnego serwera DNS dla sieci LAN.
Przy okazji, jak ten tutek ma przeżyć kilka lat, to przygotuj się do zmiany firewalla z iptables na nftables.
Za jakiś rok taka zmiana w Linuxie stanie się faktem.
http://wiki.nftables.org/wiki-nftables/ ... /Main_Page
IPv6 też się przyda w nieodległej przyszłości.
Pozdro