samba et iptables

par **vLr** » 17 Fév 2004 12:54

J'ai mis en place un firewall sur un serveur Samba : conrôleur de domaine, profils itinérants, etc... Mes clients sont en Windows 2000, XP ou DOS Pour ceux qui se demandes quels ports authoriser sur un serveur Samba: 137 et 138 en UDP 139 en TCP Mais aussi il faut authoriser le broadcast réseau sur le port 137 en TCP, sinon ça pose des problèmes pour le voisinage réseau et les lecteurs réseaux. voici les règles (adresses pour exemple): LAN="192.168.0.0/255.255.255.224" # réseau avec masque 27bits LAN_BROADCAST="192.168.0.31" # adresse de broadcast réseau IP_SRV="192.168.0.1" # adresse du serveur samba iptables -A INPUT -s $LAN -d $IP_SRV -p udp --sport 137 --dport 137 -j ACCEPT iptables -A INPUT -s $LAN -d $IP_SRV -p udp --sport 138 --dport 138 -j ACCEPT iptables -A INPUT -s $LAN -d $IP_SRV -p tcp --sport 1024:65535 --dport 139 -j ACCEPT # -- broadcast réseau iptables -A INPUT -s $LAN_BROADCAST -d $IP_SRV -p udp --sport 137 --dport 137 -j ACCEPT ! bien sûr je considère que tout ce qui sort du serveur est authorisé, vous pouvez affiner en ajoutant les règles OUTPUT correspondantes J'ai passé beaucoup de temps à chercher sur le net où l'on trouve tout et son contraire : ouvrir 137, 138 et 139 en tcp et en udp + 135 +445 etc.... mais jamais trouvé la bonne info. Dans les spécifications du Netbios que j'ai pu trouvé, il est fait mention de broadcast mais pas très clairement (quel port, protocole, quel message...)

par **vLr** » 17 Fév 2004 12:57

au fait.... merci à Ethereal qui m'a permis de trouver la solution

par **nivou** » 17 Fév 2004 16:21

merci à toi vlr ! <IMG SRC="images/smiles/icon_up.gif"> j'avoue avoir eu ce problème à une époque, dans un premier temps je n'avais ouvert que le port 139, j'obtené des sales plantages lorsque j'essayé d'accéder au voisinage réseau ... puis aprés avoir vu une doc sur iptables et samba, j'ai ouvert du 137 au 139 en udp et tcp, la j'avai pas trop de problème , mais grace à tes précisions je vais pouvoir optimiser mes règles de filtrage sans altérer le fonctionement de samba <IMG SRC="images/smiles/icon_wink.gif"> et j'penses que ça en aidera d'autres !

par **trik** » 18 Fév 2004 06:10

oui moi aussi qui n'ai que le 139 et 445 d'ouvert en tcp ... question : comment obliger les clients netbios à faire de la résolution de nom dns pour acceder au partage netbios (en lieu et place de la résolution netbios qui fait du broadcast ) ?

par **vLr** » 18 Fév 2004 13:36

En fait je vois pas troppour ton histoire mais si tu connectes tes partages netbios par l'adresse ip et non par l'adresse "windows" de la machine, je pense pas que le client utilise dans ce cas là le broadcast. Mais pas besoin de passer par dns (est-ce utile en plus ?)

par **trik** » 19 Fév 2004 06:21

le but est d'éviter la résolution de nom netbios car elle produit du broadcast ... la vrai question en fait est de savoir dans quel ordre les stations windows vont essayer de résoudre les noms pour les partages netbios : - cache -> hosts -> lmhost -> netbios -> dns ou - cache -> hosts -> lmhost -> dns -> netbios autre question : ouai je sais ça commence à faire beaucoup <IMG SRC="images/smiles/icon_biggrin.gif"> existe t-il un moyen de désactiver la résolution de nom netbios sous windows sans désactiver l'accès au partage netbios ( sans faire de controleur de domaine ... <IMG SRC="images/smiles/icon_razz.gif"> ) ?

par **vLr** » 23 Fév 2004 12:52

trik jettes un coup d'oeil à ça: <a href="http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/ProRK/prcc_tcp_gclb.asp" target="_blank">http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/ProRK/prcc_tcp_gclb.asp</a>

par **trik** » 24 Fév 2004 05:47

TERRIBLE !!! merci pour le lien c vraiment très complet ... ça répond à toute mes questions ... merci encore <IMG SRC="images/smiles/icon_wink.gif">

par **Franck78** » 24 Fév 2004 06:36

Il y a aussi la méthode super simple qui consiste à regarder avec TCPDUMP ce qui entre et ce qui sort... C'est assez facile de faire le tri Et en plus: Deux règles utiles en fin de tout script, loguez le paquet qu'aucune règle n'a traité, en entrée, comme en sortie. -J log "FW:No output rule!" Ca oblige a être très "explicite" dans ses règles Sinon le log explose...

samba et iptables

Qui est en ligne ?