Iptables в CentOS 6

0

1

Добрый день. Что-то не осиливаю настроить iptables правильно для самбы. Вот что есть:

...
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
...

или

...
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds
...

Из локальной сети эти порты видны, из интернета нет. Еще в redhat-based дистрибутивах есть утилита setup, и в ней пункт «настройка фаервола». Эта утилита как-то странно работает. Некоторые настройки отображаемые в ней уже устарели и в текущем файле iptables их нет. С другой стороны она часто помогала настроить маскарадинг когда через ручную правку iptables не работало.

Ссылка

←	Как построить Realtime ЛВС, аналог Industrial Ethernet?

SAMBA не пускает с другой сети

→

Из локальной сети эти порты видны, из интернета нет.

Сначала проверь, на каких адресах слушает Cамба, потом пинай провайдера.

~~power~~ ★
(02.03.12 07:50:53 MSK)

Ответ на: комментарий от power 02.03.12 07:50:53 MSK

Самбу проверял, нормально на всех интерфейсах висит. Пока ковырял iptables в один прекрасный момент эти порты стали видимы но filtred. Сомневаюсь что дело в провайдере. Скорей всего причина в кривых руках.

ALeo ★
(02.03.12 08:35:39 MSK) автор топика

Ответ на: комментарий от ALeo 02.03.12 08:35:39 MSK

Покажи service iptables status.

dada ★★★★★
(02.03.12 09:21:50 MSK)

Ответ на: комментарий от ALeo 02.03.12 08:35:39 MSK

провайдеры режут 135/139/445 порты извне, из за частых уязвимостей в виндах. да и использование самбы в «инете», жуткое зрелище )

ftp/nfs ?

kam ★★
(02.03.12 11:27:31 MSK)

Давай по-порядку.

Что значит «из интернета»? Через NAT?

Shtsh ★★★★
(02.03.12 11:34:45 MSK)

Ответ на: комментарий от kam 02.03.12 11:27:31 MSK

Вот насчет nfs как раз не уверен. Как там ограничить доступ по паролю? В этом плане самба лучше подходит.И вообще, чем она плоха, если все запаролено.

ALeo ★
(03.03.12 07:58:42 MSK) автор топика

Ссылка

Ответ на: комментарий от Shtsh 02.03.12 11:34:45 MSK

Есть машина с 3-мя сетевухами. Одна в локалку, оттуда доступ к самбе есть. Одна в городскую сеть. И еще одна во внешку. Вот на тот интерфейс который смотрит во внешку не могу достучаться по самбе.

ALeo ★
(03.03.12 08:00:56 MSK) автор топика

Ответ на: комментарий от dada 02.03.12 09:21:50 MSK

service iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3 reject-with icmp-host-prohibited 
3    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 5 reject-with icmp-host-prohibited 
4    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 9 reject-with icmp-host-prohibited 
5    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 10 reject-with icmp-host-prohibited 
6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
12   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80 
14   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21 
15   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137 
16   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138 
17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139 
18   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445 
19   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:1194 
20   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2200 
21   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2222 
22   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3128 
23   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3306 
24   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3389 
25   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:7788 
26   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8303 
27   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1723 
28   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25565 
29   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080 
30   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:111                                                                         
31   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:111                                                                         
32   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2049 
33   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:2049 
34   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV match --physdev-is-bridged 
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
3    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3 reject-with icmp-host-prohibited 
4    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 5 reject-with icmp-host-prohibited 
5    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 9 reject-with icmp-host-prohibited 
6    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 10 reject-with icmp-host-prohibited 
7    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
9    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
10   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
13   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
14   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
15   ACCEPT     tcp  --  0.0.0.0/0            192.186.122.150     state NEW tcp dpt:22 
16   ACCEPT     tcp  --  0.0.0.0/0            192.168.156.6       state NEW tcp dpt:22 
17   ACCEPT     tcp  --  0.0.0.0/0            192.168.122.170     state NEW tcp dpt:3389 
18   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2200 to:192.186.122.150:22 
2    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 to:192.168.156.6:22 
3    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:192.168.122.170:3389 

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
2    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           
3    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

ALeo ★
(03.03.12 08:17:03 MSK) автор топика

Ссылка

Еще такой попутный вопрос. Как я выше писал у меня 2 провайдера и иногда я хожу из городской сети через дом во внешку(например с работы). У меня стала падать внешка, помогает перезагрузка интерфейса. Провайдер написал следующее

Периодически на порт коммутатора попадают пакеты с src IP 78.140.xxx.xxx хотя все должны быть с src IP 109.171.xxx.xxx. В связи с этим пропадает соединение, судя по всему некорректно работает NAT на клиентском оборудовании.

78.140.xxx.xxx - IP городского провайдера, 109.171.xxx.xxx - IP внешнего провайдера. Вот. Где я неправильно настроил NAT?

ALeo ★
(03.03.12 08:23:58 MSK) автор топика