Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ipchains, iptables etc

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8

Открыть новую тему     Написать ответ в эту тему

mtxd

Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
К вопросу про iptables:
Надо открыть нескольким пользователям доступ к портам осла. Я пишу так:
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4242 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4242 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4662 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4662 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4672 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4672 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4661 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4661 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4665 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4665 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4666 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4666 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4667 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4667 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4668 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4668 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4669 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4669 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4711 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4711 -j ACCEPT
Но не работает... В чем ошибка?
Скрипт запущен на Gate
Всего записей: 206 | Зарегистр. 29-01-2003 | Отправлено: 14:33 14-08-2003
valhalla



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пытаюсь закрыть 135 порт:
 
iptables -I INPUT -p tcp --dport 135 -j DROP  
iptables -I INPUT -p udp --dport 135 -j DROP  
iptables -I FORWARD -p tcp --dport 135 -j DROP  
iptables -I FORWARD -p udp --dport 135 -j DROP  
 
Но tcpdump все равно ловит пакеты с назначением на порт 135. Что я делаю не так?
Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 18:40 17-08-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
оооххх...
Вообщеи ситуевина такая.. сидел себе я два года веб программером и был у нас сис адин. Но он уволился и вся работа легла на мои плечи... Так.. более менее чего-то шарю.. ядро там перекомпилить, чего-то где-то поднастроить малость и все..
и вот звонит мне недавно админ провайдерский и грит от тебя уже вторую неделю по какому-то UDP порту постоянно вылетает мусор длинной 48 байт... при чем не слабо.. траффик генерится не по детски. я сказал что разберусь.. да не тут то было... залез я в скрипты, которые управляют ipchains и попал в ступор.. ничего понять не могу
почитал http://www.opennet.ru/docs/HOWTO-RU/Ipchains.koi8-r.html, но мало чего понял. перевод такой, буд-то бы через промт пропустили.
 
пытался потестировать на своей рабочей машине, да как-то трудно с тестингом
с чего начать млин? Чего делать? файл с цепочками около 340 строк... Пока в них разберусь - хз скока времени пройдет. Голова короче раскалывается. А тут еще в лог ядра нет нет сыпятся какие-то записи непонятные.. вообщем завал полный...
 
может есть какая приблуда, который вытаскивает все правила и "readable" форме их расписывает? я так хоть быстрее пойму что к чему...
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 19:01 09-10-2003
ginger



Рыжик		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
valhalla
Не правильно создаете правило...
Для того чтобы это понять воспользуйтесь небольшой подсказкой...
iptables --help
--insert  он же -I, вставляет правила в цепочку под номером.
--append  он же -A, добавляет правила в цепочку.
 
Вам следует изначально все запретить! После чего открыть только то что Вам нужно... и Ваши проблемы исчезнут...
Рекомендую обратить Ваше внимание на GIPTables, http://www.giptables.org
 
Удачи..;)
 
ginger,
Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 10:01 10-10-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
купил сеня книжку "Брэндмауэры в Linux", рулезная штука
 
стал хоть во что-то врубатся вроде
 
вообщем ситуация такая
стоит сервер (DNS, POP, SMTP, HTTP, FTP, SSH)
неа ней две сетевухи - одна наружу, другая во внуттреннюю сеть смотрит
по умолчанию входящий и исходящий траффик акцептится, при этом пакеты, как я понял, поступающие на "внешний интерефейс" акцепятся, если сервис существует или реджектятся если нифига нету.  
 
юзвери ходять в нет, при этом не маскарадятся. при чем имеют доступ такого плана: отсылать пакеты могут куда угодно и по любому порту, но принимать могут только по разрешенным, то есть к примеру вирус поймали и вперед отсылать по UDP... Если у пользователя нет разрешенных портов, то он все равно может отсылать все что угодно во внешний мир, но при этом не получит ответа, но может свободно пользоваться сервисами на сервере.
 
также идет подсчет траффика с помощью сторонних скриптов. пакеты между сервером и провайдером не считаются.
идет подсчет входящего и исходящего траффика между "внешним" и "внутренним" интерфейсами, а также входящего и исходящего интернет траффика для каждого пользователя локальной сети.
 
помоему политика не правильная. я предпологаю следующий расклад вещей:
 
1. разрешить входящие и исходящие пакеты к сервисным портам (DNS, POP, SMTP, HTTP, FTP, SSH) от куда угодно
2. запретить внутренней сетке отправлять и принимать пакеты во внешний мир
4. разрешить полный доступ к локальному серверу
3. разрешить некоторым пользователям использовать интернет:
 а) пропускать исходящие пакеты если порт назначения является сервисным (HTTP, FTP, ICQ, SSH и т.п.)
 б) пропускать входящие пакеты, если инициатором соединения был локальный компьютер
 в) блокировать входящие пакеты, если локальный компьютер не был инициатором соединения
 г) маскарадить пользователей, которые ходят в интернет.
 д) все прыдедущие пункты сделать для ppp соединений
------------------------------------------------------------------------------------------
 
я так понял все это можно запросто осуществить? Правильна ли политика? Что нужно подправить и какие есть подводные камни?
 
я вот еще не совсем с порядком правил разобрался...
 
Добавлено
и если чего упустил с политикой.. то подскажите плиз...
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 14:28 10-10-2003
valhalla



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ginger

Цитата:
Не правильно создаете правило...  

Как это не правильно?  
I - вставляет правило в начало списка (под номером 1). Оно будет проверяться в первую очередь, независимо от того, разрешено ли что-то ниже или запрещено и от того, какая POLICY.
Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 18:54 10-10-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
блин... ребяты... у кого есть аська? может кто-нить проконсультировать по ipchains?
 
а то сижу тут разбираю правила установленные старым админом и чет хреново получается, туго въезжаю пока..
 
Добавлено
блин... ну не могу я въехать в запись такого плана:
 
ipchains -A input -i ! $EXTERNAL_INTERFACE -d $MY_ISP -j ACCEPT
 
Если я правильно мыслю, то эта запись означает следующее:
принимать любые пакеты с не $EXTERNAL_INTERFACE (lo, ppp, и т.д.) предназначеные для провайдера
 
а где смысл этой записи?
 
может быть в той ситуации, если локальная сеть маскарадится, пользовательская машина выходит в интернет и сперва передает пакет (output packet) на $LOCALNET_INTERFACE, этот интерфейс в свою очередь передает (output packet) на $EXTERNAL_INTERFACE, и срабатывает запись: принимать пакеты для провайдера, если он пришел не с $EXTERNAL_INTERFACE...
 
далее видимо должны быть правила, передавть пакет наружу или нет...
типа
 
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -d $ANYWHERE 80 -j accept
 
Я в том направлении мыслю?
 
И еще объясните схему соединения...
 
к примеру я сижу за рабочей станцией и хочу попасть на яндекс:80
у меня на компе открывается предположим 3650-ый порт и стучится к моему серверу, что хочет получить данные от 80-го порта www.yandex.ru.. что делает сервер? открывает свободный порт и стучится с таким же запросом к моему провайдеру (MY_SERVER:4073 MY_ISP: 80) ??? и так далее пока не дойдем до яндекса? хочу просто вникнуть в сетевой принцип передачи данных
 
Добавлено
и еще не могу понять запись такого плана:
 
ipchains -A output -i ! $EXTERNAL_INTERFACE -p tcp -s 0/0 8080 -j $LOCALNET_TCP_IN
 
искал что есть 0/0 в документации, но не нашел, наверное любой адрес
 
так вот не могу разобрать смысл записи
 
во первых что значит -j $LOCALNET_TCP_IN
 
$LOCALNET_TCP_IN - цепочка входящих TCP пакетов, а после -j вроде какое-то действие должно быть (ACCEPT,REJECT,DENY,FORWARD,MASQ, REDIRECT)
 
чувствую что-то связанно с учетом траффика между локальной сетью и сквидом.. но понять не могу..  кстати эта самая перва запись в firewall
 
P.S. лишь бы я никого не достал, а то такое ощущение, что разговариваю с самим собой.
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 19:58 10-10-2003
ooptimum



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Infection
Ты лучше выложи скрипт с настройками ipchains где-нибудь, а мы почитаем. Может дело веселее пойдет.
Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:11 10-10-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ooptimum
ну так совсем не интересно... хотелось бы самому разобраться... только вот туго идет
 
и все же скрипты вот здесь валяются
 
http://www.tourist.kz/utils/ipchains.tar.bz2
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 23:17 10-10-2003
ginger



Рыжик		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Infection

Цитата:
блин... ребяты... у кого есть аська? может кто-нить проконсультировать по ipchains?

Об этом в ПМ...;)

Цитата:
ipchains -A input -i ! $EXTERNAL_INTERFACE -d $MY_ISP -j ACCEPT

Все достаточно просто,
-A input - добавляем правило в таблицу input.
-i - указываем интерфейс.
! - знак инверсии.
$EXTERNAL_INTERFACE - переменная, которая объявленна где-то ранее, содержит имя внешнего интерфейса.
-d - куда (destination)
$MY_ISP - переменная, которая объявленна где-то ранее, содержит диапазон IP-адреса Вашего провайдера.
-j ACCEPT- применение (jump) к ACCEPT
 

Цитата:
и еще не могу понять запись такого плана:
ipchains -A output -i ! $EXTERNAL_INTERFACE -p tcp -s 0/0 8080 -j $LOCALNET_TCP_IN

Что ж давайте поглядим, что тут непонятного...
-A output - описываем правило для исходящих пакетов
-i ! $EXTERNAL_INTERFACE - кроме внешнего интерфейса
-p tcp - по протоколу tcp
-s 0/0 8080 - источник (source) 0/0 - любой адрес, порт 8080
-j $LOCALNET_TCP_IN - здесь используется переменная, в которой описаны входящие правила для локальной сети по протоколу tcp. Почему так? Очень просто, вот как я рассуждала LOCALNET, можно перевести как локальная сеть, TCP_IN, речь идет о TCP и IN о входящих пакетах.
...хм, только тут скорее всего ошибка, т.к. правило добавляется в таблицу output, т.е. пакеты фильтруются на выходе, а перенаправляются они на LOCALNET_TCP_IN, хотя судить я не бурусь.
 
Вообще, чтобы понять что и как, воспользуйтесь справкой, типа:
ipchains --help
man ipchains
 
После этого большинство вопросов отпадет само собой...;)
 
ginger,

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...
Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 12:20 14-10-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
наконец я вроде разобрался с IPCHAINS
 
настроил малость
 
вроде все работает
но, стало кое что сыпаться в логи.
у меня в ipchains есть такое правило:
 

Код:
 
INTERNET="eth0+"
LOOPBACK="127.0.0.0/8"
 
ipchains -A input -i $INTERNET -s $LOOPBACK -j DENY -l
 

 
а в логи сыпется следующее
Packet log: input DENY eth0 PROTO=6 127.0.0.1:80 213.154.244.206:1912 L=40 S=0x00 I=31622 F=0x0000 T=125 (#4)
Packet log: input DENY eth0 PROTO=6 127.0.0.1:80 213.154.244.202:1147 L=40 S=0x00 I=43398 F=0x0000 T=125 (#4)
Packet log: input DENY eth0 PROTO=6 127.0.0.1:80 213.154.244.203:1220 L=40 S=0x00 I=740 F=0x0000 T=125 (#4)
Packet log: input DENY eth0 PROTO=6 127.0.0.1:80 213.154.244.206:1041 L=40 S=0x00 I=24254 F=0x0000 T=125 (#4)
 
и так с периодичностью в несколько минут! меняются IP адреса и порты
 
в биндах у меня
 
ns              A       213.154.244.206
www             A       213.154.244.205
security        A       213.154.244.205
ftp             A       213.154.244.204
mail            A       213.154.244.203
news            A       213.154.244.202
 
 
чтобы это значило? Да, на 80-ом порту запущен апач, но он исключительно на 213.154.244.205. Не уж то спуфят?
 
и потом все эти логи летят прям в консоль. Где бы поднастроить , чтобы все это летело скажем к примеру в /val/log/kern.log
 


----------
Дайте мне яду от багов!!!!
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 17:21 30-11-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
у меня вот пару вопросов добавилось
 
вообщем настроил я ipchains на сервера, все работает.
но
хочу делать автоматический редирект на сквидовсий порт, всех исходящих пакетов наружу для 80-го порта, есть следующре правила:
 

Код:
 
INTERNET="eth0+"
IPADDR="212.154.144.206/29"
ANYWHERE="any/0"
UNPRIVPORTS="1024:65535"  
 
INET_IN="inet-in"
INET_OUT="inet-out"
 
ipchains -A output -i $INTERNET -p tcp \
         -s $IPADDR $UNPRIVPORTS \
         -d $ANYWHERE http -j $INET_OUT
 
ipchains -A input -i $INTERNET -p tcp \
         -s $ANYWHERE http \
         -d $IPADDR $UNPRIVPORTS -j $INET_IN
 
#далее делаю подсчет траффика
 
ipchains -A $INET_IN -p tcp  -d 0/0 $UNPRIVPORTS
ipchains -A $INET_OUT -p tcp  -s 0/0 $UNPRIVPORTS
 
# отредиректить все обращения на 80 порты сквиду
ipchains -A $INET_OUT -p tcp \
         -d $ANYWHERE http -j REDIRECT 8080
 
# вест траффик
ipchains -A $INET_OUT
ipchains -A $INET_IN
 
ipchains -A $INET_OUT -j ACCEPT
ipchains -A $INET_IN -j ACCEPT
 

 
 
но вот почему-то редирект не работает!!
 
и второй вопрос, как можно создать цепочку для каждого пользователя в локальной сети, чтобы подсчитывать траффик, но при этом маскарадить при выходе наружу?
 


----------
Дайте мне яду от багов!!!!
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 13:04 04-12-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Заколебался уже! не могу настроить файрволл... юзвери в сети не видят самбу... то есть если указывать как \\ххх.ххх.ххх.ххх, то видят, а вот если уазывать как \\samba_server, то не видят. все необходимые порты открыл, а не видно самбу, хотя 137 порт включен. если разрешить неограниченный траффик между сервером и локальной сетью, то NETBIOS Name Service работает... чего еще надо открыть то? вот такие вот правила у меня прописаны...  
 
на предмет ipchains -C - все аккцептится.  
 
ipchains -A input -i $LOCALNET -p udp -s $acc -d $LAN_IPADDR 137 -j $chains{in}  
ipchains -A output -i $LOCALNET -p udp -d $acc -s $LAN_IPADDR 137 -j $chains{out}  
 
ipchains -A input -i $LOCALNET -p udp -s $acc -d $LAN_IPADDR 138 -j $chains{in}  
ipchains -A output -i $LOCALNET -p udp -d $acc -s $LAN_IPADDR 138 -j $chains{out}  
 
ipchains -A input -i $LOCALNET -p tcp -s $acc -d $LAN_IPADDR 139 -j $chains{in}  
ipchains -A output -i $LOCALNET -p tcp -d $acc -s $LAN_IPADDR 139 -j $chains{out}  
 
ipchains -A input -i $LOCALNET -p tcp -s $acc -d $LAN_IPADDR 445 -j $chains{in}  
ipchains -A output -i $LOCALNET -p tcp -d $acc -s $LAN_IPADDR 445 -j $chains{out}  
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 20:07 23-12-2003
ginger



Рыжик		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Infection
# cat /etc/services |grep netbios
netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp
netbios-dgm     138/tcp                         # NETBIOS Datagram Service
netbios-dgm     138/udp
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp
 
Порт 445 я бы не рискнула открывать, ведь именно через этот порт происходит инфицирование M$ виндовз, или я ошибаюсь?;)
 
ginger,

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...
Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 17:28 24-12-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ginger
 
по документации прочитал, что используются порты  
137 UDP  
138 UDP  
139 TCP  
445 TCP  
 
о чем даже говорит следующая команда:  
www:/etc# netstat -an|grep 23  
tcp 0 0 192.168.0.23:53 0.0.0.0:* LISTEN  
tcp 0 0 192.168.0.23:139 192.168.0.7:1028 ESTABLISHED  
tcp 0 0 192.168.0.23:139 192.168.0.9:1030 ESTABLISHED  
tcp 0 0 192.168.0.23:139 192.168.0.11:1029 ESTABLISHED  
tcp 0 0 192.168.0.23:22 192.168.0.1:2651 ESTABLISHED  
tcp 0 0 192.168.0.23:139 192.168.0.1:2516 ESTABLISHED  
tcp 0 0 192.168.0.23:139 192.168.0.4:1034 ESTABLISHED  
tcp 0 0 192.168.0.23:139 192.168.0.12:1031 ESTABLISHED  
udp 0 0 192.168.0.23:137 0.0.0.0:*  
udp 0 0 192.168.0.23:138 0.0.0.0:*  
udp 0 0 192.168.0.23:53 0.0.0.0:*  
 
настроил соответствующим образом ipchains, а вот доступ к серверу из адресной строки (\\www) не работает. только как \\192.168.0.23  
 
 
www:/etc# cat hostname  
www  
www:/etc#  
 
проверка ipchains отвечает следующее:  
www:/etc# ipchains -C input -i eth1 -s 192.168.0.1 12345 -d 192.168.0.1 137 -p udp  
accepted  
www:/etc# ipchains -C output -i eth1 -d 192.168.0.1 12345 -s 192.168.0.1 137 -p udp  
accepted  
 
временно пришлось поставить  
ipchains -A input -i $LOCALNET -s $LAN_ADDRESSES -j ACCEPT  
ipchains -A output -i $LOCALNET -d $LAN_ADDRESSES -j ACCEPT  
 
в настройках самбы
server string = %h server (Debian GNU Linux);  
 
поставил просто  
server string = %h  
 
может будет работать. вечером, как бухи уйдут, проверю. Возможно в этом проблема.  
 
Добавлено
только вот не понятно почему не видно через \\samba_server
 
порты
137  
138  
139  
445
пробовал открывать по обоим протоколам...  монопенисуально!
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 06:55 25-12-2003
ooptimum



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Infection
Я что-то не совсем понял связи между тем, как настроен твой брандмауэр, и резолвингом имен. Может все-таки стоит настроить WINS/DNS?

----------
Голосуем за наших людей.
Номер раз.
Номер два.
Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 08:04 25-12-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ooptimum
при чем тут DNS, когда резольвингом имен занимается NETBIOS Name Service  
 
и потом в любом случае у меня поднят DNS сервер
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 11:23 25-12-2003
ooptimum



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
при чем тут DNS, когда резольвингом имен занимается NETBIOS Name Service

W2K,XP,2003 по умолчанию резолвят имена через DNS, вот при чем. В общем, по моему убеждению, в твоем случае настройки брандмауэра совершенно не при чем. Копай в сторону резолвинга имен, а не в сторону открытых портов.

----------
Голосуем за наших людей.
Номер раз.
Номер два.
Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 12:37 25-12-2003
Infection

iB3 PostgreSQL Coder		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ooptimum, да.. не спорю, что что именя резольвятся через DNS, но ни как не нетбиосовские.
 
да.. копать надо в сторону резолвинга имен, но не биндов, а нетбоиса... и настройки файрвола тут очень даже при чем...
 
необходимо было открыть прохождения пакетов между сервером и целевым широковещательным каналом по 137-му порту, дабы оповещать сеть о присутствии самой самбы
Всего записей: 352 | Зарегистр. 21-12-2001 | Отправлено: 07:49 26-12-2003
ooptimum



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Infection

Цитата:
ooptimum, да.. не спорю, что что именя резольвятся через DNS, но ни как не нетбиосовские.  

И нетбиосовские тоже, не спорь. Или проверь прежде чем спорить. Ok? Спорь аргументированно.

Цитата:
необходимо было открыть прохождения пакетов между сервером и целевым широковещательным каналом по 137-му порту, дабы оповещать сеть о присутствии самой самбы

Что это такое -- "целевой широковещательный канал"? Может там и надо было что-то открывать -- я не знаю топологию твоей сети, но тот факт, что по IP твой сервер нормально доступен, а по имени -- нет, ясно говорит мне о том, что открытых портов более чем достаточно и проблема именно в резолвинге имен. Задумайся, netbios-имя введено только для того, чтобы тебе было удобно запоминать адреса (или имена) ресурсов, компьютеры же обращаются исключительно по IP-адресам (в IP cетях). Когда ты обращаешься к ресурсу по его netbios-имени, то оно сначала разрешается в IP-адрес и уже только затем происходит само обращение по этому адресу. При обращении напрямую по IP-адресу стадия резолвинга netbios-имени отсутствует. В твоем случае обращение по IP-адресу работает, а по netbios-имени -- нет. Значит где происходит проблема? Правильно -- на стадии разрешения (резолвинга) netbios-имени в IP-адрес. Ну и при чем тут широковещание? Широковещание на твоем samba-сервере вообще ни к чему, ибо оно используется в основном только клиентами SMB/CIFS сетей для того, чтобы определить, какие сервера доступны, и, например, отобразить их список в твоем сетевом окружении. Сервера же используют широковещательные запросы только в некоторых случаях, по моему мнению не имеющих отношения к твоей проблеме.
 
PS. Ты реально думаешь, что я берусь отвечать на вопросы не разбираясь в них в достаточной степени?

----------
Голосуем за наших людей.
Номер раз.
Номер два.
Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 17:19 26-12-2003
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ipchains, iptables etc


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru