Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Firewall и Samba  (Прочитано 1572 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Shalmaran

  • Автор темы
  • Активист
  • *
  • Сообщений: 839
  • Cow super power!
    • Просмотр профиля
    • kristyushatmb.livejournal.com
Firewall и Samba
« : 12 Августа 2017, 02:48:59 »
В связи с настройкой IPv6 на моём роутере, появилась острая нужда в установке межсетевого экрана на каждом компьютере. Но после установки и настройки ufw, перестала работать служба обнаружения ресурсов Samba в локальной сети. Nautilus перестал показывать не только ресурсы, но и содержимое папки "Сеть Windows". Если же вписать в поле адреса ip адрес или доменное имя - то всё будет нормально.
Какие порты не дают нормально работать локатору?
Правила UFW стандартные, всё что на входящий трафик - drop (кроме нужного мне порта 22), исходящий - accept.
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 12 Августа 2017, 03:01:31 от Shalmaran »
Banana Pi

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #1 : 12 Августа 2017, 08:12:20 »
В связи с настройкой IPv6 на моём роутере, появилась острая нужда в установке межсетевого экрана на каждом компьютере.
Не вижу связи.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Shalmaran

  • Автор темы
  • Активист
  • *
  • Сообщений: 839
  • Cow super power!
    • Просмотр профиля
    • kristyushatmb.livejournal.com
Re: Firewall и Samba
« Ответ #2 : 12 Августа 2017, 09:58:26 »
Не вижу связи.
NAT больше нет. Компьютеры смотрят напрямую в интернет. Впрочем, это к делу не имеет отношения. Дело - межсетевой экран, после которого не работает локатор.
Banana Pi

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #3 : 12 Августа 2017, 10:17:32 »
Какая связь-то?… Объясните толком?…
При чём тут NAT?
Я уже молчу о том, что ufw к IPv6 никаким боком.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Shalmaran

  • Автор темы
  • Активист
  • *
  • Сообщений: 839
  • Cow super power!
    • Просмотр профиля
    • kristyushatmb.livejournal.com
Re: Firewall и Samba
« Ответ #4 : 12 Августа 2017, 10:32:14 »
Да какая, собственно, разница? Ufw перекрыл ipv4. Дело  в настройке экрана. Нужно настроить отображение в локальной сети по ipv4.
Суть проста. Если выключить фаерволл - компьютеры видно, но становимся доступным по ipv6 извне. Включаем - исчезают компьютеры, но и по ipv6 компьютер извне не доступен.
Не надо вообще о ipv6 и связи с ними. Внешние ip тут не причем вообще. Сервисы вообще не должны на них работать.
Поясню ситуацию с технической точки зрения.
Раньше был только IPv4, за NAT. Экраны не требовались, всё работало, так, как и должно.
Теперь же, дополнительно к IPv4, за NAT-ом, прибавились ещё и IPv6, а компьютеры стали доступны напрямую из Интернета, по этим адресам. Пришлось ставить фаерволл на каждый компьютер. И всё, вроде, стало нормально, кроме локатора. Он с такой конфигурацией ufw перестал работать. В том и проблема.

Я уже молчу о том, что ufw к IPv6 никаким боком.
Отлично работает с IPv6 .
« Последнее редактирование: 12 Августа 2017, 11:57:19 от Shalmaran »
Banana Pi

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #5 : 12 Августа 2017, 12:00:28 »
Работает, да. Вот только вы прокинули IPv6, а настраиваете IPv4.
Смысл?…
Это два совершенно различных, никак не связанных друг с другом стека.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Shalmaran

  • Автор темы
  • Активист
  • *
  • Сообщений: 839
  • Cow super power!
    • Просмотр профиля
    • kristyushatmb.livejournal.com
Re: Firewall и Samba
« Ответ #6 : 12 Августа 2017, 12:03:29 »
Это два совершенно различных, никак не связанных друг с другом стека.
Я об этом и пытаюсь написать. Плевать на IPv6 - с ним все в порядке. Проблема в IPv4. Обнаружение должно работать с этим стеком.
Banana Pi

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #7 : 12 Августа 2017, 13:11:05 »
Верните правила назад - будет работать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #8 : 15 Августа 2017, 17:14:46 »
Shalmaran, у меня так для самбы
:INPUT DROP
....
-A INPUT -s сеть/24 -j trust_net
....
-A trust_net -p tcp -m multiport --dports 139,445 -j ACCEPT
-A trust_net -p udp -m multiport --dports 137,138 -j ACCEPT
-A trust_net -p udp -m multiport --sports 137 -j ACCEPT
....
Вродь работает.
Наверное можно и по-другому, но мне, откровенно говоря, лень искать "идеал". От ufw, имхо, больше мороки чем секюрности.

Оффлайн Shalmaran

  • Автор темы
  • Активист
  • *
  • Сообщений: 839
  • Cow super power!
    • Просмотр профиля
    • kristyushatmb.livejournal.com
Re: Firewall и Samba
« Ответ #9 : 16 Августа 2017, 00:13:23 »
Наверное можно и по-другому, но мне, откровенно говоря, лень искать "идеал". От ufw, имхо, больше мороки чем секюрности.
Дело не в ufw. Какая разница как редактировать таблицу...
--
У меня задача частично решилась открытием внутрь портов 137 и 138 с UDP (IPv4) протоколом.
Не ясна логика работы smbd (кстати, это он выполняет функцию локатора). Зачем локатору порты внутрь?!
--
Ещё обязательно нужен 445 TCP.
На 139 TCP запросы идут тоже от smbd, но всё работает и без него.
« Последнее редактирование: 16 Августа 2017, 00:31:09 от Shalmaran »
Banana Pi

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #10 : 16 Августа 2017, 10:55:10 »
Функцию локатора выполняет nmbd
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 82
    • Просмотр профиля
Re: Firewall и Samba
« Ответ #11 : 16 Августа 2017, 17:51:16 »
Какая разница как редактировать таблицу...
Да никакой,"по-другому" в данном случае означало "с iptables/ipset", например. Для красоты и благолепия, ткскзть.

Кстати, если подзабылись "нюансы", можно подсмотреть в tcpdump или wireshark, что наглядней.

 

Страница сгенерирована за 0.034 секунд. Запросов: 25.