estou trabalhando para proteger meu servidor de lâmpadas (debian 9) com o iptables.
bem como você provavelmente sabe. o princípio é bloquear todas as portas e depois permitir apenas as que eu preciso.
no momento eu consegui abrir praticamente todas as portas que eu preciso, como ssh, http / https, icmp, dns, smtp, mysql ...
no entanto, meu servidor da lâmpada precisa montar dois compartilhamentos do windows a partir do windows sever usando o CIFS como
mount -t cifs -o user=user,rw //<ip adresse> /share1 /var/share1
funcionou muito bem antes de configurar o iptables, tentei abrir as portas tcp e udp 137 138 139 445 usando os comandos iptables
------ ENTRADA
-------------- udp
iptables -t filter -A INPUT -p udp --dport 137 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 139 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 138 -j ACCEPT
-------------- tcp
iptables -t filter -A INPUT -p tcp --dport 137 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 138 -j ACCEPT
----- SAÍDA
-------------- udp
iptables -t filter -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 138 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 139 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 445 -j ACCEPT
-------------- tcp
iptables -t filter -A OUTPUT -p tcp --sport 137 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 138 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 445 -j ACCEPT
infelizmente embora sem alegria, meus iptables -L parecem
root@Debian-VM:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
[...]
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ssn
ACCEPT udp -- anywhere anywhere udp dpt:microsoft-ds
[...]
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[...]
ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ns
ACCEPT tcp -- anywhere anywhere tcp spt:netbios-dgm
ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp spt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp spt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp spt:netbios-ssn
ACCEPT udp -- anywhere anywhere udp spt:netbios-dgm
ACCEPT udp -- anywhere anywhere udp spt:netbios-ns
[...]
o que está faltando?
agradeço antecipadamente por suas respostas
Nicolas
desde que eu instalei apenas o cifs-utils, eu não precisei de 138 139 137
aqui está o que funcionou para mim:
iptables -t filter -A OUTPUT -p tcp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 445 -j ACCEPT
espero que seja útil para alguém: -)