Por que o iptables ainda bloqueia meu samba?

Question

Por que o iptables ainda bloqueia meu samba?

#1 resposta do (6 votos)

2

Atualmente estou lutando com o iptables e o samba.

Eu li que o samba precisa das portas 137-139 e 445 abertas tanto no tcp quanto no udp.

Aqui está a parte relevante da minha configuração do iptables

...
# forward valid incoming connections from lan to lan-services chain
-A INPUT -i eth1 -s 192.168.17.0/24 -p udp -m conntrack --ctstate NEW -j LANSERV
-A INPUT -i eth1 -s 192.168.17.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LANSERV
...
# samba
-A LANSERV -p tcp -m tcp --sport 137:139 --dport 137:139 -j ACCEPT
-A LANSERV -p udp -m udp --sport 137:139 --dport 137:139 -j ACCEPT
-A LANSERV -p tcp -m tcp --sport 445 --dport 445 -j ACCEPT
-A LANSERV -p udp -m udp --sport 445 --dport 445 -j ACCEPT

okay, 192.168.17. * é minha sub-rede local que está conectada a eth1. O que há de errado com essas regras? O samba precisa de ainda mais portas?

É definitivamente o firewall desde a adição -A INPUT -i eth1 -s 192.168.17.0/24 -j ACCEPT no topo faz o trabalho do samba.

edit: estou tentando conectar de uma máquina com Windows 7.

networking samba iptables

por unR 18.08.2011 / 11:19

1 resposta

Tags networking samba iptables

Detectar cabo USB incorreto Linux Kernel 3.x novo esquema de versionamento

score 6 · Accepted Answer

A "porta de origem" significa a porta da qual a máquina remota enviou o pacote ao seu servidor. Raramente, se algum dia, os pacotes cliente-servidor são enviados da mesma porta remota em que eles chegam. Isto é devido à restrição na maioria dos sistemas operacionais que ditam que usuários normais não podem abrir portas abaixo de um certo limite (no Linux é qualquer porta abaixo de 1024).

Portanto, a porta de origem dos pacotes direcionados para a sua máquina provavelmente vem de uma porta aleatória de numeração alta no host remoto. Em essência, o número da porta não importa realmente e pode não ser especificado.

A regra acima dos pacotes esperados vem da porta remota 137-139 e não os captura se não o fizerem. Remova o --sport 137:139 e ele deve aceitar tráfego para sua porta 137-139 a partir da porta alta aleatória de uma máquina remota.