Daether Geschrieben 18. Dezember 2007 Teilen Geschrieben 18. Dezember 2007 Moin, ich versuche gerade an unsrer Firewall ein wenig rumzubasteln. Genauer gesagt geht es um 2 Netze : 172.16.2.0/24 -> Server 172.16.3.0/24 -> Notebooks Das ganze geht über eine Firewall, die Kontakt zu jedem Netz und ins Internet hat. Die Notebooks sollen nur Samba-Zugriff haben, ansonsten nichts. Kein HTTP,FTP, etc. . Folgende Regeln habe ich erstellt : SERVER="172.16.2.0/24" NOTEBOOK="172.16.3.0/24" $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 137 -j ACCEPT $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 138 -j ACCEPT $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 139 -j ACCEPT $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 137 -j ACCEPT $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 138 -j ACCEPT $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 139 -j ACCEPT $IPTABLES -A FORWARD -s $SERVER -d $NOTEBOOK -p tcp --dport 901 -j ACCEPT $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p tcp --sport 901 -j ACCEPT $IPTABLES -A FORWARD -s $NOTEBOOK -j REJECT Nun kriege ich keine Verbindung zum Samba-Server hin, ich gebe das Netzlaufwerk an und er versucht ewig zu verbinden. Habe ich irgendwelche Ports übersehen ? wie kann ich in den IPTables den "Ping"-Befehl freigeben ( möglichst nur diesen ) ? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
onkelz9682 Geschrieben 18. Dezember 2007 Teilen Geschrieben 18. Dezember 2007 Hi, Versuch mal folgendes $IPTABLES -A INPUT -p icmp -j ACCEPT oder $IPTABLES -A FORWARD -s $NOTEBOOK -d $SERVER -p icmp -j ACCEPT Gruß Basti Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gurkenpapst Geschrieben 18. Dezember 2007 Teilen Geschrieben 18. Dezember 2007 Nun kriege ich keine Verbindung zum Samba-Server hin, ich gebe das Netzlaufwerk an und er versucht ewig zu verbinden. Habe ich irgendwelche Ports übersehen ? Du konfigurierst es gerade so, das Verbindungen z.B. nur von Port 137 nach Port 137 erlaubt sind (was in der Realität nicht eintreffen wird). Desweiteren vergisst du das UDP Protokoll. Und dann gibt es da noch Port 445 TCP... Falls du noch nicht weisst, warum es nicht geht/gehen kann, melden... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dgr243 Geschrieben 18. Dezember 2007 Teilen Geschrieben 18. Dezember 2007 japp sourceport bei verbindungen notebook --> server muss sein >1000 (also ausserhalb der well known ports) und den 445 nich vergessen folgendes läuft bei mir in dem bereich (ich habs nen bisserl aufgeteilt und nicht alles in einer chain, aber so versteht man des vielleicht soagr noch besser ) du müsstest das ganze natürlich um deine source und destination ips anpassen -A in_lan_samba_s3 -p udp -m udp --sport 137 --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT -A in_lan_samba_s3 -p udp -m udp --sport 1000:65535 --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT -A in_lan_samba_s3 -p udp -m udp --sport 138 --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT -A in_lan_samba_s3 -p udp -m udp --sport 1000:65535 --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT -A in_lan_samba_s3 -p tcp -m tcp --sport 1000:65535 --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT -A in_lan_samba_s3 -p tcp -m tcp --sport 1000:65535 --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT --- -A out_lan_samba_s3 -p udp -m udp --sport 137 --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT -A out_lan_samba_s3 -p udp -m udp --sport 137 --dport 1000:65535 -m state --state NEW,ESTABLISHED -j ACCEPT -A out_lan_samba_s3 -p udp -m udp --sport 138 --dport 138 -m state --state ESTABLISHED -j ACCEPT -A out_lan_samba_s3 -p udp -m udp --sport 138 --dport 1000:65535 -m state --state ESTABLISHED -j ACCEPT -A out_lan_samba_s3 -p tcp -m tcp --sport 139 --dport 1000:65535 -m state --state ESTABLISHED -j ACCEPT -A out_lan_samba_s3 -p tcp -m tcp --sport 445 --dport 1000:65535 -m state --state ESTABLISHED -j ACCEPT Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Daether Geschrieben 19. Dezember 2007 Autor Teilen Geschrieben 19. Dezember 2007 Moin Moin, erstmal danke für die Hilfe. Die Firewallregeln von dgr243klappen jetzt erstmal. Zu meiner Schande muss ich gestehen, das ich das ganze zwar von den Regeln her kapiere, aber den zusammenhang mit Samba noch nicht so ganz ( wieso UDP anstatt TCP etc. Bin gerde im zweiten Lehrjahr und da heute morgen viel zu tun ist, were ich mich nachher mal intersiver damit beschäftigen. Aufjedenfall erstmal DANKÖÖÖÖÖÖ Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.