ip_tables et samba...

ip_tables et samba... - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-02-2007 à 09:38:04    

Hello ^^
 
Voilà voilà, après avoir rencontré pas mal de déboires, sur la configuration d'ippatles, je rencontre un nouveau problème.
Il m'est dès lors que les regles iptables sont actives, impossible d'accéder à mon partage samba qui fonctionnait correctement avant :/
 
Voici le script iptables :

Code :
  1. #!/bin/sh
  2. # /etc/network/if-pre-up.d/iptables-start
  3. # Script qui démarre les règles de filtrage "iptables"
  4. # Formation Debian GNU/Linux par Alexis de Lattre
  5. # http://www.via.ecp.fr/~alexis/formation-linux/
  7. # chargement des modules
  8. modprobe ip_tables
  9. modprobe ip_nat_ftp
  10. modprobe ip_nat_irc
  11. modprobe iptable_filter
  12. modprobe iptable_mangle
  13. modprobe iptable_nat
  15. # DEBUT des règles de FIREWALLING
  17. # DEBUT des politiques par défaut
  19. # Je veux que les connexions entrantes soient bloquées par défaut
  20. iptables -P INPUT DROP
  22. # Je veux que les connexions destinées à être forwardées
  23. # soient acceptées par défaut
  24. iptables -P FORWARD ACCEPT
  26. # Je veux que les connexions sortantes soient acceptées par défaut
  27. iptables -P OUTPUT ACCEPT
  29. # FIN des politiques par défaut
  31. # J'accepte les packets entrants relatifs à des connexions déjà établies
  32. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  34. # J'autorise les connexions TCP entrantes sur le port 22
  35. # (pour que mon serveur SSH soit joignable de l'extérieur)
  36. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  38. # J'autorise les connexions TCP entrantes sur le port 80
  39. # (pour que mon serveur HTTP soit joignable de l'extérieur)
  40. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  42. // Autorisation des ports distants
  43. iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT
  44. iptables -A INPUT -p tcp --dport 443 -i eth1 -j ACCEPT
  45. iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
  47. # J'autorise les flux UDP entrants sur le port 1234
  48. # (pour pourvoir reçevoir les flux VideoLAN)
  49. # iptables -A INPUT -p udp --dport 1234 -j ACCEPT
  51. # J'accepte les "pings"
  52. iptables -A INPUT -p icmp -j ACCEPT
  54. # Pas de filtrage sur l'interface de "loopback"
  55. iptables -A INPUT -i lo -j ACCEPT
  58. # La règle par défaut pour la chaine INPUT devient "REJECT"
  59. # (il n'est pas possible de mettre REJECT comme politique par défaut)
  60. iptables -A INPUT -j REJECT
  62. # FIN des règles de FIREWALLING
  64. # DEBUT des règles pour le PARTAGE DE CONNEXION
  66. # Je veux que mon système fasse office de "serveur NAT"
  67. # (Remplaçez "eth0" par votre interface connectée à Internet)
  68. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  70. # FIN des règles pour le PARTAGE DE CONNEXION
  73. # DEBUT des règles de PORT FORWARDING
  75. # Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
  76. # à la machine dont l'IP est 192.168.0.3 sur son port 80
  77. # (la réponse à la requête sera forwardée au client)
  78. #iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
  80. # Autorisation samba UDP
  81. iptables -A INPUT -p udp --dport 135 -j ACCEPT
  82. iptables -A INPUT -p udp --dport 137 -j ACCEPT
  83. iptables -A INPUT -p udp --dport 138 -j ACCEPT
  84. iptables -A INPUT -p udp --dport 139 -j ACCEPT
  85. iptables -A INPUT -p udp --dport 445 -j ACCEPT
  86. # Autorisation samba TCP
  87. iptables -A INPUT -p tcp --dport 135 -j ACCEPT
  88. iptables -A INPUT -p tcp --dport 137 -j ACCEPT
  89. iptables -A INPUT -p tcp --dport 138 -j ACCEPT
  90. iptables -A INPUT -p tcp --dport 139 -j ACCEPT
  91. iptables -A INPUT -p tcp --dport 445 -j ACCEPT
  93. # FIN des règles de PORT FORWARDING
  95. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE


C'est du copier coller d'un peu partout.
 
Concernant samba donc, j'ai ouvert comme vous pouvez le voir, les ports 135,137,138,139 et 445 en TCT et UDP...
Visiblement ca ne suffit pas :/
 
Bien que de nombreux sujets sur le net traitent de ce probleme, aucun n'apport de réponses claires : certains parlent d'un port 3128 d'autres de port 136...
Bref je m'y perds un chouilla...
 
Pourriez vous m'aider ?

Reply

Marsh Posté le 12-02-2007 à 09:38:04   

Reply

Marsh Posté le 12-02-2007 à 12:51:02    

up !

Reply

Marsh Posté le 13-02-2007 à 23:16:27    

up !

Reply

Marsh Posté le 13-02-2007 à 23:20:36    

Pour samba j'ai ça perso, et ça fonctionne sans problème...

iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 135 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 445 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.0.0/24 --dport 631 -j ACCEPT
iptables -A INPUT -m state --state NEW -m udp -p udp -s 192.168.0.0/24 --dport 631 -j ACCEPT

Reply

Marsh Posté le 13-02-2007 à 23:57:30    

Reply

Marsh Posté le 14-02-2007 à 00:14:52    

the_bigboo a écrit :

631 ?


C'est pour cups ça... désolé.
 

ipp             631/tcp                         # Internet Printing Protocol
ipp             631/udp

Reply

Marsh Posté le 14-02-2007 à 00:26:09    

Bon moi c'est curieu, apparament ca écoute correctement :

Code :
  1. srv-debian:/var/log/samba# iptables -L -n
  2. Chain INPUT (policy DROP)
  3. target     prot opt source               destination
  4. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  5. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  6. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  7. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  8. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
  9. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  10. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
  11. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
  12. REJECT     0    --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
  13. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:135
  14. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137
  15. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138
  16. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:139
  17. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:445
  18. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
  19. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
  20. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:137
  21. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:138
  22. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
  23. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
  24. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
  25. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  26. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  27. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  28. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  29. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
  30. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
  31. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
  32. ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
  33. REJECT     0    --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
  34. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:135
  35. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137
  36. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138
  37. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:139
  38. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:445
  39. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
  40. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
  41. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:137
  42. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:138
  43. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
  44. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
  45. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
 

et le service est lancé :/

Code :
  1. Connexions Internet actives (seulement serveurs)
  2. Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat
  3. tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
  4. tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
  5. tcp        0      0 0.0.0.0:684             0.0.0.0:*               LISTEN
  6. tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
  7. tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN
  8. tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN
  9. tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
  10. tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN
  11. tcp6       0      0 :::80                   :::*                    LISTEN
  12. tcp6       0      0 :::53                   :::*                    LISTEN
  13. tcp6       0      0 :::22                   :::*                    LISTEN
  14. tcp6       0      0 :::25                   :::*                    LISTEN
  15. tcp6       0      0 :::443                  :::*                    LISTEN
  16. udp        0      0 0.0.0.0:32768           0.0.0.0:*
  17. udp        0      0 192.168.1.129:137       0.0.0.0:*
  18. udp        0      0 0.0.0.0:137             0.0.0.0:*
  19. udp        0      0 192.168.1.129:138       0.0.0.0:*
  20. udp        0      0 0.0.0.0:138             0.0.0.0:*
  21. udp        0      0 0.0.0.0:678             0.0.0.0:*
  22. udp        0      0 0.0.0.0:681             0.0.0.0:*
  23. udp        0      0 0.0.0.0:53              0.0.0.0:*
  24. udp        0      0 0.0.0.0:68              0.0.0.0:*
  25. udp        0      0 0.0.0.0:111             0.0.0.0:*
  26. udp6       0      0 :::53                   :::*


Enfin le service écoute correctement :

Code :
  1. [2007/02/14 00:15:47, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  2.   *****
  4.   Samba name server SRV-DEBIAN is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.129
  6.   *****


Je sais plus quoi faire !! :cry:


Message édité par the_bigboo le 14-02-2007 à 00:26:26
Reply

Marsh Posté le 14-02-2007 à 14:32:08    

up !

Reply

Marsh Posté le 14-02-2007 à 14:37:47    

Je te conseillerais ceci pour ne pas filtrer ce qui apartient a ton reseau local:
 

Code :
  1. # Nous considérons que notre réseau local est
  2. # Egalement sur (ce qui n'est pas forcément vrai, d'ailleurs).
  3. iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
  4. iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT


Message édité par baka-lulu le 14-02-2007 à 14:38:37
Reply

Marsh Posté le 14-02-2007 à 15:51:38    

meme en faisant ca ca passe pas :/
Donc ca doit pas venir d'iptables... Mais je vois pas ou chercher. Rien dans les logs de samba ne peut m'aider a trouver le souci ?

Reply

Marsh Posté le 14-02-2007 à 15:51:38   

Reply

Marsh Posté le 15-02-2007 à 19:54:45    

up !

Reply

Marsh Posté le 17-02-2007 à 14:18:05    

up !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed