Какие порты нужны Samba?

dimish · Непрочитанное сообщение **dimish** » 2011-04-22 12:18:49

Подскажите, что нужно открыть для samba в фаерволе, что бы она пускала людей на расшаренный ресурс?

Если открыть всё - пускает.
Если открыть только, 137-139 и 445 (и-нете нашел, что именно эти порты пользует samba) - не пускает.

Что я делаю не так?

И ещё.. На фряхе появляются шары, которые создал я и ещё домашняя папка пользователя, которая должна лежать почему-то в "/home/имя сети/имя пользователя в AD" и если её там нет, хоть сама шара и появляется, но доступа к ней нет. Как это убрать?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

terminus

Код: Выделить всё

netbios-ns      137/tcp    #NETBIOS Name Service
netbios-ns      137/udp    #NETBIOS Name Service
netbios-dgm     138/tcp    #NETBIOS Datagram Service
netbios-dgm     138/udp    #NETBIOS Datagram Service
netbios-ssn     139/tcp    #NETBIOS Session Service
netbios-ssn     139/udp    #NETBIOS Session Service
microsoft-ds    445/tcp
microsoft-ds    445/udp

dimish · Непрочитанное сообщение **dimish** » 2011-04-22 12:48:12

Ну да, все эти порты открыты и по tcp и по udp. Однако не пускает даже к спискам шар. Виндовый клиент пишет: "Windows не может получить доступ к //имяхоста".
Повторюсь, если всё открыть - пускает, но мне так не нужно.

вот кусок из фаервола:

Код: Выделить всё

add 10310 allow tcp from any to me via em0 dst-port 3128,137-139,445
add 10315 allow udp from any to me via em0 dst-port 137-139,445
add 10320 allow ip from me to any via em0

Electronik

А исходящий трафик по этим портам?

Гость

ломанись с винды и tcpdump'ом смотри что режется

dimish · Непрочитанное сообщение **dimish** » 2011-04-22 14:50:24

Гость писал(а):ломанись с винды и tcpdump'ом смотри что режется

Вот эти пакетики побежали, когда я на пользовательском компе попытался открыть фряху из списка компьютеров сети:

Код: Выделить всё

11:36:38.034220 IP 192.168.1.9.64930 > 224.0.0.252.5355: UDP, length 25
11:36:38.134908 IP 192.168.1.9.64930 > 224.0.0.252.5355: UDP, length 25
11:36:38.337162 IP 192.168.1.9.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:36:39.087077 IP 192.168.1.9.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:36:39.836993 IP 192.168.1.9.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Вижу что ломится бродкастом. Ну, предположим, что это нужно.. Как правильно разрешить бродкаст в ipfw?

dimish · Непрочитанное сообщение **dimish** » 2011-04-22 15:20:13

А вот что рисует, если дать полный доступ к сети и, соответсвенно, с работающей шарой и пр.

Код: Выделить всё

12:11:08.237435 ARP, Request who-has prox.intranet.local tell 192.168.1.9, length 46
12:11:08.239059 IP 192.168.1.9.62291 > 224.0.0.252.5355: UDP, length 25
12:11:08.339497 IP 192.168.1.9.62291 > 224.0.0.252.5355: UDP, length 25
12:11:08.541499 IP 192.168.1.9.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
12:11:08.541590 IP freebsd.intranet.local.netbios-ns > 192.168.1.9.netbios-ns: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
12:11:08.543373 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [S], seq 1915718792, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
12:11:08.543408 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [S.], seq 3697018347, ack 1915718793, win 65535, options [mss 1460,nop,wscale 3,sackOK,eol], length 0
12:11:08.543748 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [.], ack 1, win 256, length 0
12:11:08.545502 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 1, win 256, length 159WARNING: Short packet. Try increasing the snap length by 117 SMB PACKET: SMBnegprot (REQUEST)
12:11:08.583297 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 160, win 8212, length 191WARNING: Short packet. Try increasing the snap length by 149 SMB PACKET: SMBnegprot (REPLY)
12:11:08.585098 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [.], ack 192, win 255, length 1460WARNING: Packet is continued in later TCP segments SMB PACKET: SMBsesssetupX (REQUEST)
12:11:08.585119 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 192, win 255, length 152SMB-over-TCP packet:(raw data or continuation?)
12:11:08.585135 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [.], ack 1772, win 8011, length 0
12:11:08.596962 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 1772, win 8212, length 220WARNING: Short packet. Try increasing the snap length by 178 SMB PACKET: SMBsesssetupX (REPLY)
12:11:08.597590 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 412, win 255, length 84WARNING: Short packet. Try increasing the snap length by 42 SMB PACKET: SMBtconX (REQUEST)
12:11:08.598360 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 1856, win 8212, length 60WARNING: Short packet. Try increasing the snap length by 18 SMB PACKET: SMBtconX (REPLY)
12:11:08.598840 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 472, win 254, length 104WARNING: Short packet. Try increasing the snap length by 62 SMB PACKET: SMBntcreateX (REQUEST)
12:11:08.599111 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 1960, win 8212, length 139WARNING: Short packet. Try increasing the snap length by 97 SMB PACKET: SMBntcreateX (REPLY)
12:11:08.599464 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 611, win 254, length 76WARNING: Short packet. Try increasing the snap length by 34 SMB PACKET: SMBtrans2 (REQUEST)
12:11:08.599539 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2036, win 8212, length 88WARNING: Short packet. Try increasing the snap length by 46 SMB PACKET: SMBtrans2 (REPLY)
12:11:08.599963 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 699, win 253, length 184WARNING: Short packet. Try increasing the snap length by 142 SMB PACKET: SMBwriteX (REQUEST)
12:11:08.600056 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2220, win 8212, length 51WARNING: Short packet. Try increasing the snap length by 9 SMB PACKET: SMBwriteX (REPLY)
12:11:08.601212 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 750, win 253, length 63WARNING: Short packet. Try increasing the snap length by 21 SMB PACKET: SMBreadX (REQUEST)
12:11:08.601263 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2283, win 8212, length 131WARNING: Short packet. Try increasing the snap length by 89 SMB PACKET: SMBreadX (REPLY)
12:11:08.601588 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 881, win 253, length 176WARNING: Short packet. Try increasing the snap length by 134 SMB PACKET: SMBtrans (REQUEST)
12:11:08.601830 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2459, win 8212, length 284WARNING: Short packet. Try increasing the snap length by 242 SMB PACKET: SMBtrans (REPLY)
12:11:08.602211 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 1165, win 252, length 45WARNING: Short packet. Try increasing the snap length by 3 SMB PACKET: SMBclose (REQUEST)
12:11:08.602272 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2504, win 8212, length 39SMB PACKET: SMBclose (REPLY)
12:11:08.730758 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 1204, win 251, length 104WARNING: Short packet. Try increasing the snap length by 62 SMB PACKET: SMBtrans2 (REQUEST)
12:11:08.730820 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2608, win 8212, length 39SMB PACKET: SMBtrans2 (REPLY)
12:11:08.731382 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [P.], ack 1243, win 251, length 86WARNING: Short packet. Try increasing the snap length by 44 SMB PACKET: SMBtconX (REQUEST)
12:11:08.737879 IP freebsd.intranet.local.microsoft-ds > 192.168.1.9.59270: Flags [P.], ack 2694, win 8212, length 66WARNING: Short packet. Try increasing the snap length by 24 SMB PACKET: SMBtconX (REPLY)
12:11:08.937007 IP 192.168.1.9.59270 > freebsd.intranet.local.microsoft-ds: Flags [.], ack 1309, win 251, length 0

Поможите, пожалуйста, разобраться..

bagas · Непрочитанное сообщение **bagas** » 2011-04-23 11:05:19

я у себя в сетки разрешил так.
KS="keep-state"
SET_GOOD="{ 10.7.0.0/24 or 10.7.20.0/24 }"
$CMD 702 allow udp from ${SET_GOOD} to 10.7.20.0/24 137,138,139,445 $KS
$CMD 703 allow tcp from ${SET_GOOD} to 10.7.20.0/24 137,138,139,445 $KS
Хмм попробуй так. Разрешаем прием и отправку на широковещательный адрес.
$CMD 111 add allow udp from 192.168.1.0/24 to 192.168.1.255
$CMD 112 add allow udp from 192.168.1.255 to 192.168.1.0/24

Непрочитанное сообщение **ADRE** » 2011-04-24 1:39:03

отправка на широковещательный???
как это повлияет на samba?
--
лучше еще указать порт, и направление для правила с киип-стате.

bagas · Непрочитанное сообщение **bagas** » 2011-04-24 8:01:23

хз...странный был вопрос..я и посоветовал сделать как...Я сам не понимаю для чего это делать нужно.

dimish · Непрочитанное сообщение **dimish** » 2011-04-24 13:55:10

Вы не поверите, но разрешение на принятие широковещательных запросов по udp на 137 и 138 порты решило проблему, у всех всё открывается..

НО. Есть подозрение, что дело не в этом, так как находил мэседжи о том, что тоже всё не работало, не работало, а потом бац и заработало без всяких телодвижений. Непонятно (с)..
Убрал бродкаст - всё продолжило работать..

snorlov · Непрочитанное сообщение **snorlov** » 2011-04-24 21:16:18

dimish писал(а):Вы не поверите, но разрешение на принятие широковещательных запросов по udp на 137 и 138 порты решило проблему, у всех всё открывается..
НО. Есть подозрение, что дело не в этом, так как находил мэседжи о том, что тоже всё не работало, не работало, а потом бац и заработало без всяких телодвижений. Непонятно (с)..
Убрал бродкаст - всё продолжило работать..

Может у вас банальное разрешение имен не работало... Ни dns'a, ни wins'а не было, сама самба на этот броадкаст не отвечала, ну и соответсвенно в списке разрешения ее не было видно Может было проще поднять dns, где ее прописать, либо поднять wins, тогда тоже броадкастов не было бы...

dimish · Непрочитанное сообщение **dimish** » 2011-04-25 8:56:44

Не, днс нормально работает (не на фряхе). Дело в том, что у меня в ipfw в table прописаны компы по именам и если до dns не достучаться он просто затыкается при подгрузке правил - это сразу видно. Ну и машина на dc прописана, прописалась когда тикет получал.

В общем вопрос для меня не ясен до конца. Если кто знает тайну - буду рад услышать..

forum.lissyara.su

Какие порты нужны Samba?

Какие порты нужны Samba?

Услуги хостинговой компании Host-Food.ru

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?

Re: Какие порты нужны Samba?