[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables me estropea samba

Buenos días,

llegado a este punto, al no saber lo que esta passando le diria al
sistema q me lo explicara, de manera que empieza a debugarlo todo
poniéndole ETIQUETAS a los logs, así que para empezar, etiquetaría
todo lo que pudieras, pondria el INPUT en DROP y al final de todo
pondria un iptables -A INPUT -s 0/0 -d 0/0 -j ACCEPT para que te logee
eso tb.

Un saludo y a ver si a alguien del foro se le ocurre una posible
solución o causa del problema.

Salut!
Axel.


On Thu, 17 Mar 2005 17:53:54 +0100, SoTaNeZ <sotanez@telefonica.net> wrote:
> || A ver, me imagino que el problema está en lo siguiente:
> ||
> || netbios trabaja sobre udp y tcp, una de las diferencias entre udp i
> || tcp es que tcp primero abre la conexión con el destino y luego
> || transmite la información, sin embargo, udp transmite directamente sin
> || hacer la petición de obertura y control de datos. Imagino que el
> || firewall te está denegando la conexión pq no está permitida en las
> || reglas del mismo. A diferencia del tcp, donde la respuesta la
> || interpreta como una consecuéncia de una comunicación, en udp cada
> || respuesta es interpretada como un inicio de "sesión".
> || Permite en el firewall esos mismos puertos de entrada y de salida
> || tanto en tcp y udp, pero además diria que te falta un puerto más, el
> || 139.
> ||
> || En resumen, abre los siguientes puertos tanto en INPUT como en OUTPUT:
> || 137,138,139/tcp,udp
> ||
> || Espero que ahora te funcione! ;-)
> 
> Pues esto sigue sin ir. Las reglas que he puesto son:
> 
> ----------------------------------------------------------------
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 139 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 445 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 137 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 137 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 139 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 445 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 139 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 445 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 137 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 137 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 139 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 445 -j ACCEPT
> -----------------------------------------------------------------
> 
> Sigo sin poder conectar salvo que ponga INPUT a ACCEPT.
> Te paso el scrip del firewall entero a ver si es problema de otras reglas:
> 
> ----------------------------------------------------------------------
> #!/bin/sh
> 
> echo -n "Starting firewall: "
> 
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> 
> ## Establecemos politica por defecto
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> 
> ## Empezamos a filtrar
> 
> # Logueado de todas las conexiones entrantes
> iptables -A INPUT -p tcp -j LOG --log-prefix "IPTABLES:" --log-level debug
> 
> # Que nadie se haga pasar por el gateway
> iptables -A INPUT -m mac --mac-source ! 00:50:FC:EE:31:92 -s 192.168.1.1 -j DROP
> 
> # Nada de paquetes raros
> iptables -A INPUT -m state --state INVALID -j DROP
> 
> # Aceptar conexiones relacionadas o establecidas
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> # El localhost se deja
> iptables -A INPUT -i lo -j ACCEPT
> 
> # Libertad para el burro
> iptables -A INPUT -p tcp --dport 4000 -j ACCEPT
> 
> # Envios messenger
> iptables -A INPUT -p tcp --dport 6891:6930 -j ACCEPT
> 
> # Servidor ssh
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> 
> # Jabber envios ficheros
> iptables -A INPUT -p tcp --dport 5222 -j ACCEPT
> iptables -A INPUT -p tcp --dport 5223 -j ACCEPT
> 
> # Netbios para la peña local
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 139 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 445 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 137 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 137 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 139 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p tcp --sport 445 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 139 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 445 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 137 -j ACCEPT
> iptables -A INPUT -s 192.168.1.1/24 -p udp --dport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 137 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 138 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 139 -j ACCEPT
> iptables -A OUTPUT -s 192.168.1.1/24 -p udp --sport 445 -j ACCEPT
> 
> # Regla de prueba
> #iptables -A INPUT -s 0/0 -d 0/0 -j DROP
> 
> echo iptables.
> --------------------------------------------------------------------
> 
> Saludos.
> 


-- 
Axel
axel.debian@gmail.com

I trust in Linux, I trust in Tux
-----------------------------------------
Reply to: