Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1487 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

ip_tables et samba...

n°885952
the_bigboo
Posté le 12-02-2007 à 09:38:04  profilanswer
 

Hello ^^
 
Voilà voilà, après avoir rencontré pas mal de déboires, sur la configuration d'ippatles, je rencontre un nouveau problème.
Il m'est dès lors que les regles iptables sont actives, impossible d'accéder à mon partage samba qui fonctionnait correctement avant :/
 
Voici le script iptables :

Code :
  1. #!/bin/sh
  2. # /etc/network/if-pre-up.d/iptables-start
  3. # Script qui démarre les règles de filtrage "iptables"
  4. # Formation Debian GNU/Linux par Alexis de Lattre
  5. # http://www.via.ecp.fr/~alexis/formation-linux/
  7. # chargement des modules
  8. modprobe ip_tables
  9. modprobe ip_nat_ftp
  10. modprobe ip_nat_irc
  11. modprobe iptable_filter
  12. modprobe iptable_mangle
  13. modprobe iptable_nat
  15. # DEBUT des règles de FIREWALLING
  17. # DEBUT des politiques par défaut
  19. # Je veux que les connexions entrantes soient bloquées par défaut
  20. iptables -P INPUT DROP
  22. # Je veux que les connexions destinées à être forwardées
  23. # soient acceptées par défaut
  24. iptables -P FORWARD ACCEPT
  26. # Je veux que les connexions sortantes soient acceptées par défaut
  27. iptables -P OUTPUT ACCEPT
  29. # FIN des politiques par défaut
  31. # J'accepte les packets entrants relatifs à des connexions déjà établies
  32. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  34. # J'autorise les connexions TCP entrantes sur le port 22
  35. # (pour que mon serveur SSH soit joignable de l'extérieur)
  36. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  38. # J'autorise les connexions TCP entrantes sur le port 80
  39. # (pour que mon serveur HTTP soit joignable de l'extérieur)
  40. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  42. // Autorisation des ports distants
  43. iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT
  44. iptables -A INPUT -p tcp --dport 443 -i eth1 -j ACCEPT
  45. iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
  47. # J'autorise les flux UDP entrants sur le port 1234
  48. # (pour pourvoir reçevoir les flux VideoLAN)
  49. # iptables -A INPUT -p udp --dport 1234 -j ACCEPT
  51. # J'accepte les "pings"
  52. iptables -A INPUT -p icmp -j ACCEPT
  54. # Pas de filtrage sur l'interface de "loopback"
  55. iptables -A INPUT -i lo -j ACCEPT
  58. # La règle par défaut pour la chaine INPUT devient "REJECT"
  59. # (il n'est pas possible de mettre REJECT comme politique par défaut)
  60. iptables -A INPUT -j REJECT
  62. # FIN des règles de FIREWALLING
  64. # DEBUT des règles pour le PARTAGE DE CONNEXION
  66. # Je veux que mon système fasse office de "serveur NAT"
  67. # (Remplaçez "eth0" par votre interface connectée à Internet)
  68. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  70. # FIN des règles pour le PARTAGE DE CONNEXION
  73. # DEBUT des règles de PORT FORWARDING
  75. # Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
  76. # à la machine dont l'IP est 192.168.0.3 sur son port 80
  77. # (la réponse à la requête sera forwardée au client)
  78. #iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
  80. # Autorisation samba UDP
  81. iptables -A INPUT -p udp --dport 135 -j ACCEPT
  82. iptables -A INPUT -p udp --dport 137 -j ACCEPT
  83. iptables -A INPUT -p udp --dport 138 -j ACCEPT
  84. iptables -A INPUT -p udp --dport 139 -j ACCEPT
  85. iptables -A INPUT -p udp --dport 445 -j ACCEPT
  86. # Autorisation samba TCP
  87. iptables -A INPUT -p tcp --dport 135 -j ACCEPT
  88. iptables -A INPUT -p tcp --dport 137 -j ACCEPT
  89. iptables -A INPUT -p tcp --dport 138 -j ACCEPT
  90. iptables -A INPUT -p tcp --dport 139 -j ACCEPT
  91. iptables -A INPUT -p tcp --dport 445 -j ACCEPT
  93. # FIN des règles de PORT FORWARDING
  95. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE


C'est du copier coller d'un peu partout.
 
Concernant samba donc, j'ai ouvert comme vous pouvez le voir, les ports 135,137,138,139 et 445 en TCT et UDP...
Visiblement ca ne suffit pas :/
 
Bien que de nombreux sujets sur le net traitent de ce probleme, aucun n'apport de réponses claires : certains parlent d'un port 3128 d'autres de port 136...
Bref je m'y perds un chouilla...
 
Pourriez vous m'aider ?

mood
Publicité
Posté le 12-02-2007 à 09:38:04  profilanswer
 

n°885983
the_bigboo
Posté le 12-02-2007 à 12:51:02  profilanswer
 

up !

n°886401
the_bigboo
Posté le 13-02-2007 à 23:16:27  profilanswer
 

up !

n°886403
RiderCrazy
Posté le 13-02-2007 à 23:20:36  profilanswer
 

Pour samba j'ai ça perso, et ça fonctionne sans problème...

iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 135 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 445 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 631 -j ACCEPT
iptables -A INPUT -m state --state NEW -m udp -p udp -s 192.168.0.0/24 --dport 631 -j ACCEPT

n°886409
the_bigboo
Posté le 13-02-2007 à 23:57:30  profilanswer
 
n°886416
RiderCrazy
Posté le 14-02-2007 à 00:14:52  profilanswer
 

the_bigboo a écrit :

631 ?


C'est pour cups ça... désolé.
 

ipp             631/tcp                         # Internet Printing Protocol
ipp             631/udp

n°886417
the_bigboo
Posté le 14-02-2007 à 00:26:09  profilanswer
 

Bon moi c'est curieu, apparament ca écoute correctement :

Code :
  1. srv-debian:/var/log/samba# iptables -L -n
  2. Chain INPUT (policy DROP)
  3. target     prot opt source               destination
  4. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  5. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  6. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  7. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  8. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
  9. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  10. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
  11. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
  12. REJECT     0    --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
  13. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:135
  14. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137
  15. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138
  16. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:139
  17. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:445
  18. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
  19. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
  20. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:137
  21. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:138
  22. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
  23. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
  24. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
  25. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  26. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  27. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  28. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  29. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
  30. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  31. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
  32. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
  33. REJECT     0    --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
  34. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:135
  35. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137
  36. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138
  37. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:139
  38. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:445
  39. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
  40. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
  41. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:137
  42. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:138
  43. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
  44. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
  45. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
 

et le service est lancé :/

Code :
  1. Connexions Internet actives (seulement serveurs)
  2. Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat
  3. tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
  4. tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
  5. tcp        0      0 0.0.0.0:684             0.0.0.0:*               LISTEN
  6. tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
  7. tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN
  8. tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN
  9. tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
  10. tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN
  11. tcp6       0      0 :::80                   :::*                    LISTEN
  12. tcp6       0      0 :::53                   :::*                    LISTEN
  13. tcp6       0      0 :::22                   :::*                    LISTEN
  14. tcp6       0      0 :::25                   :::*                    LISTEN
  15. tcp6       0      0 :::443                  :::*                    LISTEN
  16. udp        0      0 0.0.0.0:32768           0.0.0.0:*
  17. udp        0      0 192.168.1.129:137       0.0.0.0:*
  18. udp        0      0 0.0.0.0:137             0.0.0.0:*
  19. udp        0      0 192.168.1.129:138       0.0.0.0:*
  20. udp        0      0 0.0.0.0:138             0.0.0.0:*
  21. udp        0      0 0.0.0.0:678             0.0.0.0:*
  22. udp        0      0 0.0.0.0:681             0.0.0.0:*
  23. udp        0      0 0.0.0.0:53              0.0.0.0:*
  24. udp        0      0 0.0.0.0:68              0.0.0.0:*
  25. udp        0      0 0.0.0.0:111             0.0.0.0:*
  26. udp6       0      0 :::53                   :::*


Enfin le service écoute correctement :

Code :
  1. [2007/02/14 00:15:47, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  2.   *****
  4.   Samba name server SRV-DEBIAN is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.129
  6.   *****


Je sais plus quoi faire !! :cry:


Message édité par the_bigboo le 14-02-2007 à 00:26:26
n°886553
the_bigboo
Posté le 14-02-2007 à 14:32:08  profilanswer
 

up !

n°886557
baka-lulu
Posté le 14-02-2007 à 14:37:47  profilanswer
 

Je te conseillerais ceci pour ne pas filtrer ce qui apartient a ton reseau local:
 

Code :
  1. # Nous considérons que notre réseau local est
  2. # Egalement sur (ce qui n'est pas forcément vrai, d'ailleurs).
  3. iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
  4. iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT


Message édité par baka-lulu le 14-02-2007 à 14:38:37
n°886586
the_bigboo
Posté le 14-02-2007 à 15:51:38  profilanswer
 

meme en faisant ca ca passe pas :/
Donc ca doit pas venir d'iptables... Mais je vois pas ou chercher. Rien dans les logs de samba ne peut m'aider a trouver le souci ?

mood
Publicité
Posté le 14-02-2007 à 15:51:38  profilanswer
 

n°887027
the_bigboo
Posté le 15-02-2007 à 19:54:45  profilanswer
 

up !

n°887400
the_bigboo
Posté le 17-02-2007 à 14:18:05  profilanswer
 

up !


Aller à :
Ajouter une réponse
 

Sujets relatifs
Suppression impossible avec partage samba avec interface graphiquemoutage partage samba
Samba (et réseau) très lent[résolu] [Samba] Auto-connexion depuis XP
[SAMBA] option passwd qui ne marche pas[mdv07] automount et samba
Athentification Samba via PAM vers mysqlProbleme d'identification SAMBA
Problème entre Samba et Cups[samba] Déconnexion intempestive
Plus de sujets relatifs à : ip_tables et samba...

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.121 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR