| View previous topic :: View next topic |
| Author |
Message |
nUmer_inaczej
Apprentice
Joined: 24 Apr 2007
Posts: 165
Location: Bydgoszcz
|
 Posted: Tue Dec 30, 2014 3:09 pm Post subject: [HOW-TO] Samba. Gentoo → Windows 7 |
 |
|
Witam serdecznie.
Niejako przy okazji stworzyłem HOW-TO. Sambaa.Gentoo → Windows 7.
Mam nadzieję, że się przyda.
UPDATE: Poradnik został zaktualizowany.
Last edited by nUmer_inaczej on Mon Jan 12, 2015 10:15 pm; edited 1 time in total |
|
| Back to top |
|
 |
Jacekalex
Guru
Joined: 17 Sep 2009
Posts: 554
|
| Posted: Mon Jan 12, 2015 8:41 pm Post subject: |
|
|
| Quote: | Witam serdecznie.
Niejako przy okazji stworzyłem HOW-TO. Sambaa.Gentoo → Windows 7. |
W tutku od Samby stoi jak byk:
| Code: | # SAMBA ##
#Akceptowanie połączeń na port udp 137 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol udp --destination-port 137 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port udp 138 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol udp --destination-port 138 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 139 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol tcp --destination-port 139 -m
state --state NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 445 z sieci lokalnej
iptables -I INPUT -i eth0 --protocol tcp --destination-port 445 -m
state --state NEW,ESTABLISHED -j ACCEPT |
To nie jest z sieci lokalnej, tylko z całego świata, lamerstwo jakich mało.
Żeby było z sieci lokalnej, to musisz filtrować ruch albo po klasie IP źródłowych tej sieci, albo po mac-adresach (jeśli ta sieć lokalna jest spięta jednym switchem), inaczej port masz otwarty na lokalną kulę ziemską i lokalną resztę kosmosu. 
Tu masz o adresach sieci prywatnych::
http://pl.wikipedia.org/wiki/IPv4#Prywatne_adresy_IPv4
| Quote: | | Mam nadzieję, że się przyda. |
Jak cały konfig Samby zrobiłeś tak, jak Netfiltera, to tutek się nie przyda nikomu, chyba że na podpałkę do grilla (po wydrukowaniu).
PS:
Masz jeszcze jeden błąd, z netfiltera wyleciał moduł state, zamiast tego jest moduł conntrack.
Składnia:
| Code: | | iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT |
To by było na tyle
 |
|
| Back to top |
|
|
nUmer_inaczej
Apprentice
Joined: 24 Apr 2007
Posts: 165
Location: Bydgoszcz
|
| Posted: Mon Jan 12, 2015 9:23 pm Post subject: |
|
|
Dzięki za odpowiedź. Właśnie problem konfiguracji firewalla przedstawiłem w innym, niższym poście.
Więc ja rozumuję w ten sposób routerem jestem spięty z internetem. Router poprzez serwer DHCP przydziela mi adres IP oraz pozostałym użytkownikom sieci lokalnej z klasy C 192.168.0.100 wzwyż. O ile dla mojego komputera na którym udostępniam zasoby nie został zarezerwowany adres IP - mogę za każdym razem otrzymać inny w przypadku różnej kolejności przydzielenia adresu przez wspomniany serwer DHCP pozostałym użytkownikom podpiętym pod ten router. (Nie zawsze wszyscy będą spinać się z siecią poprzez wifi by korzystać z zasobów)
Zatem wyszedłem z założenia, że nie powinienem w firewallu udostępniającego zasoby ograniczać się do podania możliwie zmiennego IP, tylko do interfejsu eth0.
Dzięki.
EDIT:
czyli ostateczna wersja configuracji firewalla powinna wyglądać jak poniżej, tu dla przykładowego mcadressu:
| Code: | ## SAMBA ##
#Akceptowanie połączeń na port udp 137 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol udp --destination-port 137 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port udp 138 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol udp --destination-port 138 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 139 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol tcp --destination-port 139 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#Akceptowanie połączeń na port tcp 445 z sieci lokalnej
iptables -I INPUT -m mac --mac-source C0:4A:00:03:85:5B --protocol tcp --destination-port 445 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
|
_________________
nUmer w sieci |
|
| Back to top |
|
|
Jacekalex
Guru
Joined: 17 Sep 2009
Posts: 554
|
| Posted: Tue Jan 13, 2015 3:58 am Post subject: |
|
|
Dla mac-adresu tak.
Jeśli potrzebowałbyś wpuścić sieć np 192.168.0.0/24,
to byłoby:
| Code: | | iptables -I INPUT -s 192.168.0.0/24 --protocol udp --destination-port 137 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT |
Poza tym IMHO nie ma sensu robić dla każdego portu osobnych reguł, lepiej użyć modułu multiport, użycie np (tu w innym charakterze):
| Code: | | -A PREROUTING ! -i lo -p tcp -m multiport --dports 22,113,445,1433,1512,2175,2176,3306,5432 -j SET --add-set wypad src |
W ten sposób skrócisz sprawę do dwóch regułek, po jednej dla tcp i udp.
Jeśli natomiast chciałbyś filtrować po parach adres IP i mac-adres, to ja radziłbym brać ipseta, tablicę bitmap:ip,mac.
http://ipset.netfilter.org/ipset.man.html#lbAO
W nim zmieścisz nawet 60 tys wpisów, a FW i tak będzie widział to jako jedną regułkę.
Taka opcja jest dostępna, jeśli wszystkie kompy mają zawsze te same adresy IP, niezależnie od tego, jak je otrzymały.
W każdym routerze, jaki w życiu widziałem, można ustawić statycznie w dhcp pary adres Ip -mac-adres, żeby kompy w lanie można było wywoływać przykładowo po nazwach z /etc/hosts, albo użyć lokalnego serwera DNS dla sieci LAN.
Przy okazji, jak ten tutek ma przeżyć kilka lat, to przygotuj się do zmiany firewalla z iptables na nftables.
Za jakiś rok taka zmiana w Linuxie stanie się faktem.
http://wiki.nftables.org/wiki-nftables/index.php/Main_Page
IPv6 też się przyda w nieodległej przyszłości.
Pozdro
|
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Polskie forum (Polish) 
