Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: iptables закрыть все кроме Самбы  (Прочитано 5037 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн La5erWind

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
iptables закрыть все кроме Самбы
« : 28 Март 2008, 17:49:13 »
Мучаюсь уже пол дня, может великий дух пятницы мешает, а может где сам туплю..

Задача, есть сетка 192.168.1.0/24

на компе 192.168.1.191 Ubuntu, на которой надо запретить все соединения кроме Самбы.
Комп с виндой 192.168.1.219

Итого имеем:

Chain INPUT (policy ACCEPT)
Chain FORWARD (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)


Samba работает

выполняю


# правило по умолчанию дропнуть все пакеты
iptables -P INPUT DROP

#Разрешаем пройти INPUT для самба портов через tcp
iptables -A INPUT -p tcp --source 192.168.1.0/24 -m multiport --source-port 137,138,139,445 -j ACCEPT

#Разрешаем пройти INPUT для самба портов через udp
iptables -A INPUT -p udp --source 192.168.1.0/24 -m multiport --source-port 137,138,139,445 -j ACCEPT


и тут самба перестает работать.. где я туплю?
« Последнее редактирование: 28 Март 2008, 17:55:19 от La5erWind »
Iam cool!

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables закрыть все кроме Самбы
« Ответ #1 : 28 Март 2008, 19:57:22 »
Я так понимаю, что винда (и самба) не обязательно коннектятся с портов 137,138,139,445.
Но обязательно на эти порты. Поэтому лучше делать привязку не --source-port, а --destination-port.

И кстати source-port - это потенциальная дыра. Ибо при такой конфигурации как у тебя сейчас, можно приконнектится к тебе на ЛЮБОЙ порт, лишь бы у злоумышленника в качестве исходного был выставлен 137,138,139 или 445. А это не проблема.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн d3rp

  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: iptables закрыть все кроме Самбы
« Ответ #2 : 28 Март 2008, 20:18:43 »
Вроде так правильно
iptables -A INPUT -p udp -s 192.168.1.0/24 -m multiport --dports 137,138 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -m multiport --dports 139,445 -j ACCEPT
« Последнее редактирование: 28 Март 2008, 20:25:45 от d3rp »

is_a

  • Гость
Re: iptables закрыть все кроме Самбы
« Ответ #3 : 28 Март 2008, 20:40:11 »
Цитировать
# правило по умолчанию дропнуть все пакеты
iptables -P INPUT DROP
Если все пакеты на входе дропать, то разве что-то дальше пройдет?)

Оффлайн d3rp

  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: iptables закрыть все кроме Самбы
« Ответ #4 : 28 Март 2008, 20:48:03 »
iptables -P задает правило по-умолчанию, т.е. если ни одно правило не сработало, то выполняется правило по-умолчанию

is_a

  • Гость
Re: iptables закрыть все кроме Самбы
« Ответ #5 : 28 Март 2008, 20:50:41 »
iptables -P задает правило по-умолчанию, т.е. если ни одно правило не сработало, то выполняется правило по-умолчанию
Ясно, туплю, попутал с прероутингом.

Оффлайн La5erWind

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Re: iptables закрыть все кроме Самбы
« Ответ #6 : 30 Март 2008, 14:38:01 »
Вроде так правильно
iptables -A INPUT -p udp -s 192.168.1.0/24 -m multiport --dports 137,138 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -m multiport --dports 139,445 -j ACCEPT

Спасибо! Действительно правильно!

Всем огромное спасибо, все работает.
Iam cool!

 

Страница сгенерирована за 0.177 секунд. Запросов: 22.