LINUX.ORG.RU
ФорумAdmin

Iptables в CentOS 6


0

1

Добрый день. Что-то не осиливаю настроить iptables правильно для самбы. Вот что есть:

...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
...
или
...
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds
...
Из локальной сети эти порты видны, из интернета нет. Еще в redhat-based дистрибутивах есть утилита setup, и в ней пункт «настройка фаервола». Эта утилита как-то странно работает. Некоторые настройки отображаемые в ней уже устарели и в текущем файле iptables их нет. С другой стороны она часто помогала настроить маскарадинг когда через ручную правку iptables не работало.


Из локальной сети эти порты видны, из интернета нет.

Сначала проверь, на каких адресах слушает Cамба, потом пинай провайдера.

power ()
Ответ на: комментарий от power

Самбу проверял, нормально на всех интерфейсах висит. Пока ковырял iptables в один прекрасный момент эти порты стали видимы но filtred. Сомневаюсь что дело в провайдере. Скорей всего причина в кривых руках.

ALeo ()
Ответ на: комментарий от ALeo

провайдеры режут 135/139/445 порты извне, из за частых уязвимостей в виндах. да и использование самбы в «инете», жуткое зрелище )

ftp/nfs ?

kam ★★ ()
Ответ на: комментарий от kam

Вот насчет nfs как раз не уверен. Как там ограничить доступ по паролю? В этом плане самба лучше подходит.И вообще, чем она плоха, если все запаролено.

ALeo ()
Ответ на: комментарий от Shtsh

Есть машина с 3-мя сетевухами. Одна в локалку, оттуда доступ к самбе есть. Одна в городскую сеть. И еще одна во внешку. Вот на тот интерфейс который смотрит во внешку не могу достучаться по самбе.

ALeo ()
Ответ на: комментарий от dada
service iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3 reject-with icmp-host-prohibited 
3    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 5 reject-with icmp-host-prohibited 
4    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 9 reject-with icmp-host-prohibited 
5    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 10 reject-with icmp-host-prohibited 
6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
12   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80 
14   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21 
15   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137 
16   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138 
17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139 
18   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445 
19   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:1194 
20   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2200 
21   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2222 
22   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3128 
23   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3306 
24   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3389 
25   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:7788 
26   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8303 
27   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1723 
28   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25565 
29   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080 
30   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:111                                                                         
31   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:111                                                                         
32   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2049 
33   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:2049 
34   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV match --physdev-is-bridged 
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
3    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3 reject-with icmp-host-prohibited 
4    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 5 reject-with icmp-host-prohibited 
5    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 9 reject-with icmp-host-prohibited 
6    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 10 reject-with icmp-host-prohibited 
7    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
13   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
14   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
15   ACCEPT     tcp  --  0.0.0.0/0            192.186.122.150     state NEW tcp dpt:22 
16   ACCEPT     tcp  --  0.0.0.0/0            192.168.156.6       state NEW tcp dpt:22 
17   ACCEPT     tcp  --  0.0.0.0/0            192.168.122.170     state NEW tcp dpt:3389 
18   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2200 to:192.186.122.150:22 
2    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 to:192.168.156.6:22 
3    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:192.168.122.170:3389 

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
2    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
3    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination 
ALeo ()

Еще такой попутный вопрос. Как я выше писал у меня 2 провайдера и иногда я хожу из городской сети через дом во внешку(например с работы). У меня стала падать внешка, помогает перезагрузка интерфейса. Провайдер написал следующее

Периодически на порт коммутатора попадают пакеты с src IP 78.140.xxx.xxx хотя все должны быть с src IP 109.171.xxx.xxx. В связи с этим пропадает соединение, судя по всему некорректно работает NAT на клиентском оборудовании.

78.140.xxx.xxx - IP городского провайдера, 109.171.xxx.xxx - IP внешнего провайдера. Вот. Где я неправильно настроил NAT?

ALeo ()
Ответ на: комментарий от ALeo

Ну так смотри в настройках самбы, какие сети она слушает.

Можешь ещё netstat -l воспользоваться.

Shtsh ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.