| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Pakhom
Зарегистрирован: 17.03.2002
Сообщения: 114
Откуда: SPb
|
 Добавлено: Чт Май 23 2002 16:29 Заголовок сообщения: Samba + ipchains + winnt |
 |
|
Что-то я не догоняю. Подскажите плз.
Имеется сервак, на нем стоит smb, его IP x.x.x.1
Имеется клиент под WinNt (или Win2k один фиг) с IP x.x.x.2
Заходим в сетевое окружение, кликаем на серваке, выдает что сетевой путь не найден.
На сервере делаем ipchains -I input 1 -j ACCEPT, повторяем операцию все работает, запрашивается логин и т.п.
делаем ipchains -D input 1
Пишу ipchains -I input -p tcp -d x.x.x.1 -s x.x.x.2 -j ACCEPT
Пробуем и ничего не работает (выдает что сетевой путь не найден).
Что у меня в этой строчке не правильно?
Заранее благодарен |
|
| Вернуться к началу |
|
 |
anthony
Зарегистрирован: 21.05.2002
Сообщения: 845
Откуда: Petrozavodsk
|
| Добавлено: Чт Май 23 2002 16:32 Заголовок сообщения: Попробуй окромя TCP еще и UDP разрешить. Также не забудь про ответный трафик (от сервера - к клиенту). Результат в студию! (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Май 23 2002 17:21 Заголовок сообщения: Рассказываю (+) |
|
|
| Для того, что все работало, нужно разрешить входяшие соединения по TCP и UDP на порты 137-139 |
|
| Вернуться к началу |
|
|
anthony
Зарегистрирован: 21.05.2002
Сообщения: 845
Откуда: Petrozavodsk
|
| Добавлено: Пт Май 24 2002 00:57 Заголовок сообщения: Да-а?! А ответы тебе сервер по воздуху слать будет?! Надо и исходящие соединения разрешать! ;) (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Май 24 2002 08:49 Заголовок сообщения: Мдя... (+) |
|
|
Я ценю твои знания, но не надо так орать.
Естественно исходящие соединения надо разрешать. Обычно я их и не запрещаю, за исключением редких случаев. |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Май 24 2002 09:00 Заголовок сообщения: Ответы посылаются по тому же входящему соединению. |
|
|
TCP-соединение двунаправленное (дуплексное) - клиент открывает соединение с сервером, шлет по нему запросы и по нему же получает ответы.
Обычный набор правил выглядит так:
разрешить установленные соединения (established);
разрешить оккрыть соединение (syn) от клиентов к серверам по нужным портам;
запретить всем всё;
Для желающих - задание на дом:
Рассмотреть ситуация работы клиента из-под NAT/Masquerading, где возможно только установление соединения от клиента к серверу, но не наоборот. |
|
| Вернуться к началу |
|
|
Pakhom
Зарегистрирован: 17.03.2002
Сообщения: 114
Откуда: SPb
|
| Добавлено: Пт Май 24 2002 18:21 Заголовок сообщения: Re: Попробуй окромя TCP еще и UDP разрешить. Также не забудь про ответный трафик (от сервера - к клиенту). Результат в студию! |
|
|
| Разрешил, результат = ;( (есно исходящий разрешен). |
|
| Вернуться к началу |
|
|
Pakhom
Зарегистрирован: 17.03.2002
Сообщения: 114
Откуда: SPb
|
| Добавлено: Пт Май 24 2002 18:28 Заголовок сообщения: Видимо, этого не достаточно :( |
|
|
| И это тоже не помогло... |
|
| Вернуться к началу |
|
|
anthony
Зарегистрирован: 21.05.2002
Сообщения: 845
Откуда: Petrozavodsk
|
| Добавлено: Пт Май 24 2002 18:48 Заголовок сообщения: Да я не ору, просто так, скромно комментирую... ;))) (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
anthony
Зарегистрирован: 21.05.2002
Сообщения: 845
Откуда: Petrozavodsk
|
| Добавлено: Пт Май 24 2002 18:51 Заголовок сообщения: Ответы-то отсылаются, но... (+) |
|
|
| Эти ответы тоже в пакетах идут, так вот их прохождение тоже разрешать надо! (во всяком случае, я это с точки зрения ipchains'ов говорю при условии, что дефолтовая политика = deny || reject) |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Май 24 2002 18:56 Заголовок сообщения: А я об этом говорил! |
|
|
| Одно из первых правил IP-фильтрации - пропускать все IP-пакеты, соответствующие установленной TCP-сессии (established). Правило действует на обоих участников (from all to all) и под него попадает порядка 90% трафика - потому-то его и ставят одним из первых. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Май 24 2002 20:40 Заголовок сообщения: Re: Видимо, этого не достаточно :( |
|
|
А вообще ты с чего решил что проблема именно в пакетном фильтре?
Ну-ка smb.conf в студию! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
