Samba porti

TCP: 137, 139, 445
UDP: 137, 138, 139

edit: aja, js dovolim tut udp porte nad 1024, če je source port 137. ne bom trdil, ampak mislim, da je bilo to tisto, kar je zadovoljilo vse (z)mešane OSje na mojmu lan-u.

Tudi 445 rabiš, če hočeš da dela stvar v naprednem načinu (=CIFS)

Ugotovil sem še nekaj.

Ne sme se blokirati broadcast paketkov. Še vedno pa blokiram multicast (prej sem imel totalno paranoičen firewall, ki je blokiral oboje).

OK, zdaj sem odprl porte:
TCP_PORTS: 139 445
UDP_PORTS: 137 138

OK, če nmapam sam sebe s parametrom -sU, vidim, da so odprti UDP porti:
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
32775/udp open|filtered sometimes-rpc14

Včasih pokaže še enega okrog 32000, vendar to pač blokiram.

In sedaj, ko sem to odprl:
a) vidim network
b) drugi v networku vidijo mene

Problem pa je:
a) vidim samo en network (v resnici sta dva). Če rečem:
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Potem vidim oba networka (NET1 in NET2). Očitno torej še vedno preveč blokiram. Ampak kaj?

b) Če imam vključen firewall, potem ko v smb4k (KDE SMB browser) kliknem na en računalnik, se zgodi tole: dostop je zavrnjen. Če pa flushnem iptables in odprem firewall, pa se mi v smb4k pojavi okno, ki me vpraša za avtentikacijo. To je verjetno povezano s tem, da nekaj preveč blokiram v firewallu.

c) Imam dve mrežni kartici - eth0 in eth1. eth0 je vezana na lokalno omrežje, ki je zaprto, fizično ločeno in nima povezave v internet. eth1 pa je odprto in ima zunanje IPje.
Problem je v tem, da obstajajo na obeh omrežjih različna windows omrežja. Na eth0 sta dva, na eth1 pa štirje. Windows omrežij ki so na eth1 ne vidim.

Jih pa vidim v Windowsih Xp.
Je pa ena čudna zadeva. En računalnik, ki je na omrežju NET2 na eth0 ima IP lokalni (10.10.10.xxx), drugi pa ima zunanjega (193.xxx.xxx.xxx). To mi namreč pokaže smb4k.

Ampak! Če pa v Konquerorju vpišem smb://193.xxx.xxx.xxx - IP od neke mašine na eth1 na enem izmed networkov, ki jih ne vidim, pa lepo pridem gor! Če seveda vpišem smb://ime_kiste ne pridem nikamor.

d) Ne morem mountat svojega shara iz smb4k. Če v smb4k kliknem na svoj račuanlnik vidim kateri share imam omogočen. OK, sedaj pa kliknem na share in javi tole:
"smbmnt must be installed suid root for direct user mounts (1000,1000) // smbmnt failed: 1". Če grem vKonqueror, pa seveda svoj share brez problemov mountam.

BTW: share je narejen tako, da lahko gor pišejo in berejo vsi. Gre v bistvu za eno FAT particijo, ki jo v /etc/fstab automountam in omogočim pisanje po njej vsem.

e) kako implementirati dropanje ostalih broadcast paketkot razen od sambe (oz. od nekaj izbranih windows kišt). Dropnem jih takole:
$IPTB -A INPUT -m pkttype --pkt-type broadcast -j DROP
Vendar če imam to vključeno, Samba ne dela (kot sem že zgoraj omenil).

Ne vem, če ima broadcast kakšen pomen pri tcpju.

Tam je itak vse p2p...

Matthai:

Broadcast rabiš, ker ti ne dela ali pa ne uporabljaš "wins". Uporabljaš torej stari način spremljanja mašin v skupini in resourceov (udp broadcast" namesto novega, poizvedba pri PDCju...

Če imaš opravka z Windows klienti, so ti dostikrat zateženi in zahtevajo določen protokol, tako da ni rečeno, da si lahko brez broadcasta, sicer pa ga AFAIK ne rabiš...

OK, zdaj sem odprl porte:
TCP_PORTS: 139 445
UDP_PORTS: 137 138


Sam imam to tako rešeno, da imam v lokalu odprte porte tako udp kot tcp: 137,138,139,445.
Pri tem, jasno, govrimo o DESTINATION PORTih in ne startnih ali obojih. Pri filtriranju te torej zanima -dport in ne -port ali -sport...


Je pa ena čudna zadeva. En računalnik, ki je na omrežju NET2 na eth0 ima IP lokalni (10.10.10.xxx), drugi pa ima zunanjega (193.xxx.xxx.xxx). To mi namreč pokaže smb4k.


V okvirih dosega kabla Etherneta imaš dva različna IP omrežja. Pa je to dobro ? Po tamalem to pomeni, da imaš tisto ethernetko v kurbirskem modu, pa verjetno tudi probleme in luknje pri filtriranju, saj rabiš učinkovit firewall tudi na tisti mašini...


Ampak! Če pa v Konquerorju vpišem smb://193.xxx.xxx.xxx - IP od neke mašine na eth1 na enem izmed networkov, ki jih ne vidim, pa lepo pridem gor! Če seveda vpišem smb://ime_kiste ne pridem nikamor.


V sambi lahko nastaviš način, kako ime spremeni v IP. Pri tem lahko nastaviš, da uporablja klasični DNS, lmhostst file, hosts file ali kaj tretjega. Pač imena hostov imej v /etc/hosts in to imej nastavljeno, pa wins imej vklopljen. DNS pa, če je izklopljen, zaboga izklopi...



d) Ne morem mountat svojega shara iz smb4k. Če v smb4k kliknem na svoj račuanlnik vidim kateri share imam omogočen. OK, sedaj pa kliknem na share in javi tole:
"smbmnt must be installed suid root for direct user mounts (1000,1000) // smbmnt failed: 1". Če grem vKonqueror, pa seveda svoj share brez problemov mountam.


SMbmount ti neče zmountat stvari, ker nisi root, on pa ne suid_root. spremeni mu atribute (chmod 3711 ali kaj poodobnega), pa bo mogoče delal.

Sams se izogibam Konquerorja in njegovih smb uslug, ker nikoli ne vem, kaj točno počne "za zaveso". Saj vse kao nekako dela,s amo dostikrat pri njemu mi odpiranje mape iz nerazumljivih vzrokov traja nekaj sekund preveč, ki jih pri ročno/fstab zmountani particiji ni...



e) kako implementirati dropanje ostalih broadcast paketkot razen od sambe (oz. od nekaj izbranih windows kišt). Dropnem jih takole:
$IPTB -A INPUT -m pkttype --pkt-type broadcast -j DROP



Odvisno od ostalih pravil v tvojem FWju.

Čisto tako na uč:

$IPTB -A INPUT -i eth0 -m multiports -dport 137,138,139,445 -s10.0.0.0/24 -pkt-type broadcast -j DROP

al pa ce bi kdo moje configre prebral, ki sem jih dal pred katkim casom na ta forum...
Tole dej v config od sambe:

interfaces = eth0 eth1 br0
hosts allow = 192.168. 127. 10.
read only = no
guest ok = yes
browseable = yes
writable = yes
public = yes

edit: sicer ne vem vec kaj pisem oz kaksen problem ma... karkoli ze cisto mozno da programska oprema (samba) omejuje dostopanje iz 10/8

brane, br0 je zato ker imam delno transparentni bridge ali pa je ostanek od prejsnje konfiguracije in ni pogoj da bi to odstranil za normalno delovanje.
zakaj bi omogocal tudi drugim? zato ker ne vem ker lolek bo hodil s svojim pcjem v mojo hiso prklapljat svoj racunalnik v omrezje, drugace pa firewall na drugem nivoju onemogoca dostop drugim. to je pa tako zato, ker ce si bom spreminjal ip na pcju, da bo normalno delovalo.

ja ne vem kako on to filtrira. jz filtriram vse v externo omrezje (internet). samo za primer naj povem, da dobim na dan preko 1000 povezav na sambo, ce izklopim filtre v externo omrezje.

$IPTB -A INPUT -i eth0 -m multiports -dport 137,138,139,445 -s10.0.0.0/24 -pkt-type broadcast -j DROP


Errm, moj zajeb. Te pakete naj bi acceptal in ne dropal.

Torej:

$IPTB -A INPUT -i eth0 -m multiports -dport 137,138,139,445 -s10.0.0.0/24 -pkt-type broadcast -j ACCEPT

Hmnja, pa se

nmblookup -d 4 IME_KISTE


bi blo dobro videt.

Eh, kva sm neumen.

 $IPTB -A INPUT -i eth1 -p udp --sport 137 -j ACCEPT
 

Ker je tak reko tcpdump. Odgovarja namrec duhec, ki pociva na portu 137 in ocitno ne odpira novega socketa.

Popolnoma empiricna ugotovitev.

Eh. Na podlagi cesa pa naj ne bi bilo socketov? Ravno tako mora program poslusati na dolocenem portu, jasno da bo odprl socket.

Glede na to, da so bili porti vedno 137 > 32000+, sklepam, da bi to moralo delovati.

OK, pogledam eno kišto v lokalnem omrežju z IP = 10.10.10.100 in imenom \\hana (Win 2000 server)

matej@matthai:~$ nmblookup -d 4 -A 10.10.10.100
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
doing parameter workgroup = CJMMK
doing parameter server string = %h server
doing parameter dns proxy = no
doing parameter interfaces = eth0 eth1
doing parameter log file = /var/log/samba/log.%m
doing parameter max log size = 1000
doing parameter syslog = 0
doing parameter panic action = /usr/share/samba/panic-action %d
doing parameter encrypt passwords = yes
doing parameter passdb backend = tdbsam guest
doing parameter obey pam restrictions = no
doing parameter invalid users = root
doing parameter passwd program = /usr/bin/passwd %u
doing parameter passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
doing parameter socket options = TCP_NODELAY
doing parameter message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
doing parameter restrict anonymous = no
doing parameter domain master = no
doing parameter preferred master = no
doing parameter ldap ssl = No
doing parameter security = share
pm_process() returned Yes
added interface ip=10.10.10.50 bcast=10.10.10.255 nmask=255.255.255.0
added interface ip=193.***.***.50 bcast=193.***.***.255 nmask=255.255.255.0
Socket opened.
Looking up status of 10.10.10.100
nmb packet from 10.10.10.100(137) header: id=31232 opcode=Query(0) response=Yes
    header: flags: bcast=No rec_avail=No rec_des=No trunc=No auth=Yes
    header: rcode=0 qdcount=0 ancount=1 nscount=0 arcount=0
    answers: nmb_name=*<00> rr_type=33 rr_class=1 ttl=0
    answers   0 char .HANA              hex 0848414E412020202020202020202020
    answers  10 char ...HANA            hex 00040048414E41202020202020202020
    answers  20 char    ..CJMMK         hex 2020200400434A4D4D4B202020202020
    answers  30 char     ...HANA        hex 2020202000840048414E412020202020
    answers  40 char       ...INet~Se   hex 202020202020030400494E65747E5365
    answers  50 char rvices  ...IS~HA   hex 72766963657320201C840049537E4841
    answers  60 char NA...........CJM   hex 4E410000000000000000000400434A4D
    answers  70 char MK          ...A   hex 4D4B202020202020202020201E840041
    answers  80 char DMINISTRATOR  ..   hex 444D494E4953545241544F5220200304
    answers  90 char ..P.............   hex 0000508BF7F296000000000000000000
    answers  a0 char ................   hex 00000000000000000000000000000000
    answers  b0 char ...............   hex 000000000000000000000000000000
        HANA            <00> -         B <ACTIVE>
        HANA            <20> -         B <ACTIVE>
        CJMMK           <00> - <GROUP> B <ACTIVE>
        HANA            <03> -         B <ACTIVE>
        INet~Services   <1c> - <GROUP> B <ACTIVE>
        IS~HANA         <00> -         B <ACTIVE>
        CJMMK           <1e> - <GROUP> B <ACTIVE>
        ADMINISTRATOR   <03> -         B <ACTIVE>

        MAC Address = **-**-**-**-**-**

Pa še po imenu:

matej@matthai:~$ nmblookup -d 4 Hana
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
doing parameter workgroup = CJMMK
doing parameter server string = %h server
doing parameter dns proxy = no
doing parameter interfaces = eth0 eth1
doing parameter log file = /var/log/samba/log.%m
doing parameter max log size = 1000
doing parameter syslog = 0
doing parameter panic action = /usr/share/samba/panic-action %d
doing parameter encrypt passwords = yes
doing parameter passdb backend = tdbsam guest
doing parameter obey pam restrictions = no
doing parameter invalid users = root
doing parameter passwd program = /usr/bin/passwd %u
doing parameter passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
doing parameter socket options = TCP_NODELAY
doing parameter message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
doing parameter restrict anonymous = no
doing parameter domain master = no
doing parameter preferred master = no
doing parameter ldap ssl = No
doing parameter security = share
pm_process() returned Yes
added interface ip=10.10.10.50 bcast=10.10.10.255 nmask=255.255.255.0
added interface ip=193.***.***.50 bcast=193.***.***.255 nmask=255.255.255.0
Socket opened.
querying Hana on 10.10.10.255
querying Hana on 193.***.***.255
name_query failed to find name Hana

Hm, glede wins support mi piše tole:

# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable its WINS Server
; wins support = no

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
; wins server = ww.xx.yy.zz

Samo včeraj mi je nekdo rekel, da ne smem nastaviti wins support = yes, ker bom s tem povzročil težave v omrežju.

Ne vem pa zakaj, oz. kaj se zgodi, če wins supoport omogočim.

ok zadeva je taka. ce se ti poveze z nmblookup -d 4 -A [client ip], potem je problem mogoce taksen:

imas ip, ki ni zajet v netmaski v linuxu na omreznem interfejcu.

dej pokazi kaj ti izpise "route", pa a imas ip od interfaca ki je enak 10.10.10.xxx z netmasko 255.255.255.0 ?

hruska, sam tolk za info, na port 137 se mu lepo poveze.


Looking up status of 10.10.10.100
nmb packet from 10.10.10.100(137) header: id=31232 opcode=Query(0) response=Yes
header: flags: bcast=No rec_avail=No rec_des=No trunc=No auth=Yes
header: rcode=0 qdcount=0 ancount=1 nscount=0 arcount=0