обзор SMB сети

Linux, безопасность, сети и все что с этим связано
alexweb
Заглянувший
Сообщения: 39
Зарегистрирован: 18 ноя 2004, 02:46

обзор SMB сети

Сообщение alexweb »

привет

Подскажите, что нужно подправить в конфигурации iptables чтобы можно было просматривать сеть. А то когда набираю адрес конкретной машины с расшаренными папками - все ок. А когда просто пытаюсь просмотреть, что есть в сети - konqueror выдает, что возможно обзор сети блокирован файерволом.
Раньше стояла мандрива и обзор был, а сейчас дебиан.

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

alexweb, ну о текущих настройках FW остается только догадываться ;)
Попробуйте для начала открыть:
udp/137
udp/138
Если не поможет - то добавьте
tcp/139
tcp/445
Опыт растет прямо пропорционально выведенному из строя оборудованию

alexweb
Заглянувший
Сообщения: 39
Зарегистрирован: 18 ноя 2004, 02:46

Сообщение alexweb »

Llama писал(а):alexweb, ну о текущих настройках FW остается только догадываться ;)
Попробуйте для начала открыть:
udp/137
udp/138
Если не поможет - то добавьте
tcp/139
tcp/445
Я использовал kmyfirewall для настройки. Вот мой файл:

Код: Выделить всё

#!/bin/sh
#
# copyright (c) the KMyFirewall developers 2002-2005
#      mail to: Christian Hubinger <chubinegr>
#
# KMyFirewall v1.0
# This is an automatic generated file DO NOT EDIT
#


startFirewall() {

echo -n "Starting iptables (created by KMyFirewall)...       "
if [ "$verbose" = "1" ]; then
echo -n "
Loading needed modules...          "
fi


$MOD ip_tables 
$MOD ip_conntrack 
$MOD ipt_LOG 
$MOD ipt_limit 
$MOD ipt_state 
$MOD ip_conntrack_ftp
$MOD ip_conntrack_irc

$MOD iptable_filter
$MOD iptable_nat
$MOD iptable_mangle
if [ "$verbose" = "1" ]; then
echo "Done."
fi



#  Define all custom chains
if [ "$verbose" = "1" ]; then
echo -n "Create custom chains...       "
fi





if [ "$verbose" = "1" ]; then
echo "  Done."
fi



#  Rules:
if [ "$verbose" = "1" ]; then
echo "Settup Rules in Table FILTER:"
fi




#  Define Rules for Chain: INPUT
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: INPUT"
fi

                    
$IPT -t filter -A INPUT --source 127.0.0.1 -j ACCEPT  || { status="1"; echo " Setting up Rule: Trusted_0 FAILED! "; exit 1; }

$IPT -t filter -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT  || { status="1"; echo " Setting up Rule: CONNTRACK FAILED! "; exit 1; }

$IPT -t filter -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT

$IPT -t filter -A INPUT -i eth0 -p tcp --dport 139:445 -j ACCEPT

#$IPT -t filter -A INPUT -m limit --limit 5/second --limit-burst 5 -j LOG --log-prefix "KMF: " || { status="1"; echo " Setting up Rule: Chain: INPUT Drop Logging FAILED! "; exit 1; }

$IPT -t filter -P INPUT DROP || { status="1"; echo " Setting up Rule: Chain: INPUT Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: OUTPUT
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: OUTPUT"
fi

                    
$IPT -t filter -A OUTPUT --destination 127.0.0.1 -j ACCEPT  || { status="1"; echo " Setting up Rule: Trusted_0 FAILED! "; exit 1; }
$IPT -A OUTPUT -p udp --dport 137 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 138 -j ACCEPT


$IPT -t filter -P OUTPUT ACCEPT || { status="1"; echo " Setting up Rule: Chain: OUTPUT Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: FORWARD
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: FORWARD"
fi

                    
$IPT -t filter -P FORWARD ACCEPT || { status="1"; echo " Setting up Rule: Chain: FORWARD Default Target FAILED! "; exit 1; }


if [ "$verbose" = "1" ]; then
echo "Settup Rules in Table NAT:"
fi




#  Define Rules for Chain: OUTPUT
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: OUTPUT"
fi

                    
$IPT -t nat -P OUTPUT ACCEPT || { status="1"; echo " Setting up Rule: Chain: OUTPUT Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: PREROUTING
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: PREROUTING"
fi

                    
$IPT -t nat -P PREROUTING ACCEPT || { status="1"; echo " Setting up Rule: Chain: PREROUTING Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: POSTROUTING
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: POSTROUTING"
fi

                    
$IPT -t nat -P POSTROUTING ACCEPT || { status="1"; echo " Setting up Rule: Chain: POSTROUTING Default Target FAILED! "; exit 1; }


if [ "$verbose" = "1" ]; then
echo "Settup Rules in Table MANGLE:"
fi




#  Define Rules for Chain: INPUT
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: INPUT"
fi

                    
$IPT -t mangle -P INPUT ACCEPT || { status="1"; echo " Setting up Rule: Chain: INPUT Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: OUTPUT
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: OUTPUT"
fi

                    
$IPT -t mangle -P OUTPUT ACCEPT || { status="1"; echo " Setting up Rule: Chain: OUTPUT Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: FORWARD
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: FORWARD"
fi

                    
$IPT -t mangle -P FORWARD ACCEPT || { status="1"; echo " Setting up Rule: Chain: FORWARD Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: PREROUTING
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: PREROUTING"
fi

                    
$IPT -t mangle -P PREROUTING ACCEPT || { status="1"; echo " Setting up Rule: Chain: PREROUTING Default Target FAILED! "; exit 1; }


#  Define Rules for Chain: POSTROUTING
if [ "$verbose" = "1" ]; then
echo "Create Rules for Chain: POSTROUTING"
fi

                    
$IPT -t mangle -P POSTROUTING ACCEPT || { status="1"; echo " Setting up Rule: Chain: POSTROUTING Default Target FAILED! "; exit 1; }



if [ "$verbose" = "1" ]; then
echo -n "Enable IP Forwarding.                "
fi


echo 1 > /proc/sys/net/ipv4/ip_forward
if [ "$verbose" = "1" ]; then
echo "Done."
fi


if [ "$verbose" = "1" ]; then
echo -n "Disable Reverse Path Filtering       "
fi


for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $i 
done
if [ "$verbose" = "1" ]; then
echo "Done."
fi


if [ "$verbose" = "1" ]; then
echo -n "Disable log_martians (logging).           "
fi


for i in /proc/sys/net/ipv4/conf/*/log_martians ; do
echo 0 > $i 
done
if [ "$verbose" = "1" ]; then
echo "Done."
fi



if [ "$verbose" = "1" ]; then
echo -n "Enable Syn Cookies.          "
fi


echo 1 > /proc/sys/net/ipv4/tcp_syncookies
if [ "$verbose" = "1" ]; then
echo "Done."
fi


echo Done.
}

stopFirewall() {
  echo -n "Clearing iptables (created by KMyFirewall)...       "

  $IPT -t filter -F || status="1"
  $IPT -t filter -X || status="1"
  $IPT -t filter -P INPUT ACCEPT || status="1"
  $IPT -t filter -P OUTPUT ACCEPT || status="1"
  $IPT -t filter -P FORWARD ACCEPT || status="1"

  $IPT -t nat -F || status="1"
  $IPT -t nat -X || status="1"
  $IPT -t nat -P OUTPUT ACCEPT || status="1"
  $IPT -t nat -P PREROUTING ACCEPT || status="1"
  $IPT -t nat -P POSTROUTING ACCEPT || status="1"

  $IPT -t mangle -F || status="1"
  $IPT -t mangle -X || status="1"
  $IPT -t mangle -P INPUT ACCEPT || status="1"
  $IPT -t mangle -P OUTPUT ACCEPT || status="1"
  $IPT -t mangle -P OUTPUT ACCEPT || status="1"
  $IPT -t mangle -P PREROUTING ACCEPT || status="1"
  $IPT -t mangle -P POSTROUTING ACCEPT || status="1"

  echo "Done."

}

IPT="/sbin/iptables"
MOD="/sbin/modprobe"
status="0"
verbose="0"
action="$1"
if [ "$1" = "-v" ]; then
    verbose="1"
fi

if [ "$1" = "--verbose" ]; then
    verbose="1"
fi

if [ "$verbose" = "1" ]; then
    if [ "$2" = "" ]; then
    echo "Usage: sh kmyfirewall.sh [-v|--verbose] { start | stop | restart }"
    exit 1
  fi
action="$2"
fi

case $action in
  start)
  stopFirewall
  startFirewall
  ;;
  stop)
  stopFirewall
  ;;
  restart)
  stopFirewall
  startFirewall
  ;;
  *)
  echo "Invalid action!
Usage: sh kmyfirewall.sh [-v|--verbose] { start | stop | restart }"
  ;;
  esac

if [ "$status" = "1" ]; then
  exit 1
else
  exit 0
fi





Аватара пользователя
Punker
Интересующийся
Сообщения: 44
Зарегистрирован: 24 дек 2006, 11:22
Откуда: Минск
Контактная информация:

Сообщение Punker »

Возникает следующая проблема при просмотре сети: захожу(Konqueror, Krusader) на windows-комп открываю какую-нибудь папку, в которой много файлов(фотки например, мр3 и т.д.) и... ничего не вижу. При этом наблюдается не дюжая активность сетевого подключения и зависание Krusader'a или Konqueror'a.
Будьте осторожны! Мечты имеют свойство сбываться...

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

попробуйте сделать то же саоме с помощью smbclient. По крайней мере можно будет определить в чем конкретно проблема...
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
Punker
Интересующийся
Сообщения: 44
Зарегистрирован: 24 дек 2006, 11:22
Откуда: Минск
Контактная информация:

Сообщение Punker »

Llama, блин, плохо владею консольными командами к сожалению... после прочтения man на соответсвующую тему смог только вот:

Код: Выделить всё

[root@Punker root]#  smbclient -L 192.168.0.1
Password:
Domain=[ADMIN_1_CORAM] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

        Sharename       Type      Comment
        ---------       ----      -------
        Video           Disk
        E$              Disk            GAMES (I)       Disk
        IPC$            IPC             D$              Disk            I$              Disk                    F$              Disk            Music           Disk
        ADMIN$          Disk            H$              Disk            C$              Disk      session request to 192.168.0.1 failed (Called name not present)
session request to 192 failed (Called name not present)
Domain=[ADMIN_1_CORAM] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
как войти в конкретную папку?
Будьте осторожны! Мечты имеют свойство сбываться...

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

Код: Выделить всё

smbclient //1.2.3.4/sharename
cd somefolder
ls
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
Punker
Интересующийся
Сообщения: 44
Зарегистрирован: 24 дек 2006, 11:22
Откуда: Минск
Контактная информация:

Сообщение Punker »

Llama, то же самое...

Код: Выделить всё

[root@Punker root]# smbclient //192.168.0.5/D
Password:
Domain=[KATIA] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \> ls
  FOUND.000                         DHS        0  Sun Sep  3 20:05:46 2006
  install                             D        0  Tue Jan  3 19:45:18 2006
  games                               D        0  Tue Jan  3 19:55:18 2006
  System Volume Information          DH        0  Tue Jan  3 22:36:40 2006
  Recycled                          DHS        0  Tue Jan  3 23:45:26 2006
  Video                               D        0  Tue Jan  3 20:06:58 2006
  Wallpapers                          D        0  Wed Feb  1 14:57:28 2006
  Mp3                                DR        0  Sun Apr  2 07:36:22 2006
  MSOCache                          DHR        0  Thu May 25 16:53:38 2006
  desktop.ini                        HS       72  Sun Jun 25 19:14:06 2006
    netsetup.exe                        A   326656  Thu Aug 29 04:48:26 2002
      TREEINFO.WC                         H    27336  Wed Jan 10 16:23:08 2007

                61562 blocks of size 1048576. 733 blocks available
smb: \> cd Wallpapers
smb: \Wallpapers\> ls

и делее пытается упорно прочитать...
Будьте осторожны! Мечты имеют свойство сбываться...

Аватара пользователя
Punker
Интересующийся
Сообщения: 44
Зарегистрирован: 24 дек 2006, 11:22
Откуда: Минск
Контактная информация:

Сообщение Punker »

Откликнитесь кто! Что дальше? в smbclient то же самое..
Будьте осторожны! Мечты имеют свойство сбываться...

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

Странно...
попробуйте все тоже самое, только добавить к параметрам smbclient -d3
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
Punker
Интересующийся
Сообщения: 44
Зарегистрирован: 24 дек 2006, 11:22
Откуда: Минск
Контактная информация:

Сообщение Punker »

Llama,

Код: Выделить всё

[punker@Punker punker]$ smbclient -d3 //192.168.0.5/D
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
added interface ip=192.168.0.2 bcast=192.168.0.255 nmask=255.255.255.0
Client started (version 3.0.14a).
Connecting to 192.168.0.5 at port 445
Password:
Doing spnego session setup (blob length=16)
server didn't supply a full spnego negprot
Got challenge flags:
Got NTLMSSP neg_flags=0x628a0215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x60080215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x60080215
Domain=[KATIA] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
dos_clean_name []
smb: \>    
Далее захожу в конкретную папку - ls:

Код: Выделить всё

received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
received 29 entries (eos=0)
и так далее. 
При этом почти 100% загрузка процесора.
Будьте осторожны! Мечты имеют свойство сбываться...

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
Punker
Интересующийся
Сообщения: 44
Зарегистрирован: 24 дек 2006, 11:22
Откуда: Минск
Контактная информация:

Сообщение Punker »

Поставил 3.0.22 действительно заработало!:)
Будьте осторожны! Мечты имеют свойство сбываться...

Ответить