Samba, вид из вне.

[Langaru]

Всем доброго времени суток!

Есть небольшая проблема. Есть шлюз на убунте сервер с настроенным iptables(форвардинг), dhcp, bind. Сам шлюз находится внутри сети, где стоят и другие виндовые машины. Решил из него сделать файлопомойку и накатил самбу. Из внутренней сети, для которой данный сервер является шлюзом расшаренная папка видна (правда внутрь не пускает, но это дело поправимое, т.к. скорее всего что-то в настройке самбы забыл). А из сети, где данный шлюз является хостом, не видна папка, да и сам хост не виден, хотя пинг до него идёт. Iptables в цепочках in/out в дефолте на полную открыты, фильтруется только forward.
В общем то вопрос: "В каком месте промах? Или в какую сторону рыть?".

P.s. Попытался настроить рдп, получил абсолютно ту же картину. Из внитрунней для шлюза сети заходит, с вншней - нет.

[fli]

cat /etc/samba/smb.conf | egrep -v '(^$|^#)'
iptables -L -n
netstat -ntl | egrep '(139|445)'
для начала

[Langaru]

cat /etc/samba/smb.conf | egrep -v '(^$|^#)'

[global]
   workgroup = Workgroup
   netbios name = FileServer
   server string = FileServer
;   wins server = w.x.y.z
   dns proxy = no
   local master = no
   domain master = no
   preferred master = no
;   name resolve order = lmhosts host wins bcast
;   interfaces = 127.0.0.0/8 eth0
;   bind interfaces only = yes
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
    security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
;   domain logons = yes
;   logon path = \\%N\profiles\%U
;   logon drive = H:
;   logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
; add machine script  = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
; add group script = /usr/sbin/addgroup --force-badname %g
;   printing = bsd
;   printcap name = /etc/printcap
;   printing = cups
;   printcap name = cups
;   include = /home/samba/etc/smb.conf.%m
   socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192
;   message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
;   idmap uid = 10000-20000
;   idmap gid = 10000-20000
;   template shell = /bin/bash
;   winbind enum groups = yes
;   winbind enum users = yes
;   usershare max shares = 100
   usershare allow guests = yes
[PublicForAll]
    path = /media/documents/share
    writable = yes
    browseable = yes
    public = yes
    guest ok = yes
    guest only = yes
[homes]
    comment = Home Directories
    browseable = no
    valid users = %S
    writable = yes
    create mask = 0700
    directory mask = 0700
;   read only = yes
;   create mask = 0700
;   directory mask = 0700
;   valid users = %S
;[netlogon]
;   comment = Network Logon Service
;   path = /home/samba/netlogon
;   guest ok = yes
;   read only = yes
;[profiles]
;   comment = Users profiles
;   path = /home/samba/profiles
;   guest ok = no
;   browseable = no
;   create mask = 0600
;   directory mask = 0700
[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700
[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no
;   write list = root, @lpadmin
;[cdrom]
;   comment = Samba server's CD-ROM
;   read only = yes
;   locking = no
;   path = /cdrom
;   guest ok = yes
;   preexec = /bin/mount /cdrom
;   postexec = /bin/umount /cdrom

iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 LOG flags 2 level 7
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 3389,3390,137,138,22

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 80,443,8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 22,23,5938,9997
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 22,23,5938,9997
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,110,143,465,585,993,995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 25,110,143,465,585,993,995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1080,8081,8088,8888
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 1080,8081,8088,8888
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 20013,20014,20018,32801:32825
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 20013,20014,20018,32801:32825
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 55550:55555
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 55550:55555
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 55550:55555
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 55550:55555

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 3389,3390,137,138,22

netstat-ntl|egrep'(139|445)'

tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN     

[censor]

в цепочке INPUT политика акцепт, но правило reject стоит до правила разрешающего нужные вам порты, поменяйте очередность и будет работать
Пользователь решил продолжить мысль 29 Июля 2012, 22:01:11:

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 80,443,8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 22,23,5938,9997
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 22,23,5938,9997
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 25,110,143,465,585,993,995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 25,110,143,465,585,993,995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1080,8081,8088,8888
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 1080,8081,8088,8888
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 20013,20014,20018,32801:32825
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 20013,20014,20018,32801:32825
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 55550:55555
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 55550:55555
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 55550:55555
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 55550:55555

это от незнания conntrack?

[Langaru]

в цепочке INPUT политика акцепт, но правило reject стоит до правила разрешающего нужные вам порты, поменяйте очередность и будет работать

т.е. сделать так?
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 3389,3390,137,138,22
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 LOG flags 2 level 7
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02 reject-with icmp-port-unreachable

это от незнания conntrack?

К моему стыду впервые слышу про это. Если не сложно, в 2х словах для чего он используется?

[censor]

http://www.linux.org.ru/news/kernel/4910501

[Langaru]

в цепочке INPUT политика акцепт, но правило reject стоит до правила разрешающего нужные вам порты, поменяйте очередность и будет работать

Сделал - не помогает. Добавление в самое начало строки
-A INPUT -i eth3 -j ACCEPT
также не привело ни к чему.

[fli]

Почему у тебя в destination указан 0.0.0.0/0 ?? Должен быть айпишник или интерфейс. 

[Langaru]

Почему у тебя в destination указан 0.0.0.0/0 ?? Должен быть айпишник или интерфейс. 

На сколько я понимаю это указывает на то, что доступ есть с любого ip на любой. Если не прав - поправте.
Вот файл с правилами:

# Generated by iptables-save v1.4.10 on Sat Jun  2 18:46:00 2012
*nat
:PREROUTING ACCEPT [1051453:103065677]
:INPUT ACCEPT [132145:19030505]
:OUTPUT ACCEPT [34328:2603190]
:POSTROUTING ACCEPT [254:50340]
-A POSTROUTING -o eth3 -j MASQUERADE
COMMIT
# Completed on Sat Jun  2 18:46:00 2012
# Generated by iptables-save v1.4.10 on Sat Jun  2 18:46:00 2012
*filter
:INPUT ACCEPT [36:6451]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [24:3830]
# Logs
-A INPUT -i eth3 -j ACCEPT
-A INPUT -i eth3 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
#-A INPUT -i eth3 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
# In RDP & NetBIOS
-A INPUT -i eth3 -p tcp -m multiport --dports 3389,3390,137,138,22 -j ACCEPT
-A OUTPUT -o eth3 -p tcp -m multiport --sports 3389,3390,137,138,22 -j ACCEPT
# Common ports for HTTP,`S
-A FORWARD -i eth+ -p tcp -m multiport --dports 80,443,8080 -j ACCEPT
-A FORWARD -o eth+ -p tcp -m multiport --sports 80,443,8080 -j ACCEPT
#Telnet
-A FORWARD -i eth+ -p tcp -m multiport --dports 22,23,5938,9997 -j ACCEPT
-A FORWARD -o eth+ -p tcp -m multiport --sports 22,23,5938,9997 -j ACCEPT
#Post
-A FORWARD -i eth+ -p tcp -m multiport --dports 25,110,143,465,585,993,995 -j ACCEPT
-A FORWARD -o eth+ -p tcp -m multiport --sports 25,110,143,465,585,993,995 -j ACCEPT
#Tanks
-A FORWARD -i eth+ -p tcp -m multiport --dports 1080,8081,8088,8888 -j ACCEPT
-A FORWARD -o eth+ -p tcp -m multiport --sports 1080,8081,8088,8888 -j ACCEPT
-A FORWARD -i eth+ -p udp -m multiport --dports 20013,20014,20018,32801:32825 -j ACCEPT
-A FORWARD -o eth+ -p udp -m multiport --sports 20013,20014,20018,32801:32825 -j ACCEPT
#Torrents
-A FORWARD -i eth+ -p tcp -m multiport --dports 55550:55555 -j ACCEPT
-A FORWARD -o eth+ -p tcp -m multiport --sports 55550:55555 -j ACCEPT
-A FORWARD -i eth+ -p udp -m multiport --dports 55550:55555 -j ACCEPT
-A FORWARD -o eth+ -p udp -m multiport --sports 55550:55555 -j ACCEPT
#END
COMMIT
# Completed on Sat Jun  2 18:46:00 2012v

С iptables до конца ещё не разобрался, так что адекватная критика приветствуется!

[Langaru]

Посыпаю голову пеплом.
Проблема основная была в том компьютере, с которого пытался производить все манипулирования. Исправление правил: добавление 445 порта на вход и добавление тех же правил на выход - дало необходимое. РДП также ходит без проблем.
Выражаю благодарность всем откликнувшимся.

[fisher74]

Вот сразу видно - гуру сразу в таблесы клаву толкать...
А в самбе слабо было интерфейсы забиндить? То есть раскомментировать 10 и 11 строку в глобале (с поправкой в 10-й строке, естественно)?