Toon posts:

[Debian] Iptables - Putty - Samba

Pagina: 1
Acties:

zondag 9 maart 2008 19:48

Acties:
  • ZpAz
  • Registratie: September 2005
  • Laatst online: 17:49

ZpAz

Topicstarter
Hallo,

Ik heb een server met SAMBA er op, deze tunnel ik via putty over het internet zodat ik thuis bij de shares van de server kan. Dit werkt prima, zolang ik AL het verkeer accepteer. Maar gooi ik de hele INPUT chain dicht in IPTABLES en zet alleen de poorten open die putty en samba gebruiken, dan kan ik geen verbinding meer maken?

Welke poorten, protocollen moeten open om samba over putty te krijgen door een firewall? Ik gebruik het alleen voor de shares.

O.a hier: http://troy.jdmz.net/samba/fw/ zie ik dat de netbios poorten plus een aantal andere worden gebruikt. Dit heb ik ook ingesteld. Maar zonder succes.

Mijn IPTABLES configuratie:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  localhost            localhost
ACCEPT     udp  --  localhost            localhost
ACCEPT     udp  --  debian.colo.transip.net  debian.colo.transip.net
ACCEPT     tcp  --  debian.colo.transip.net  debian.colo.transip.net
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-dgm

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Alvast bedankt.

edit:

Ook heb ik via netstat gekeken welke poorten worden gebruikt nadat samba is opgestart, deze heb ik allemaal in de firewall ingevoegd. Maar zonder resultaat.

[ Voor 4% gewijzigd door ZpAz op 09-03-2008 19:49 ]

Claude: "Domain patterns emerge from iteration, not generation." - Tweakers Time Machine Extension | Chrome : FF

zondag 9 maart 2008 21:07

Acties:
  • BarthezZ
  • Registratie: Juli 2004
  • Niet online

BarthezZ

anti voetbal en slechte djs!

Uhmm voor de tunnel is ssh (tcp 22) nodig en vanaf daar zou je eigenlijk verder alleen nog verkeer van localhost hoeven te accepteren op je server. Mits al het samba verkeerd goed getunneld word (en ik vermoed dat daar de fout zit)

[edit]
Oeps over e.a. heengelezen ^^

[ Voor 8% gewijzigd door BarthezZ op 09-03-2008 23:23 ]

zondag 9 maart 2008 21:47

Acties:
  • ZpAz
  • Registratie: September 2005
  • Laatst online: 17:49

ZpAz

Topicstarter
Poort 22 staat ook open, en alle verkeer localhost op de server ook zoals je kunt zien in de tabel hierboven.

Claude: "Domain patterns emerge from iteration, not generation." - Tweakers Time Machine Extension | Chrome : FF

maandag 10 maart 2008 09:56

Acties:
  • Keeper of the Keys
  • Registratie: Augustus 2002
  • Laatst online: 14-01 12:20

Keeper of the Keys

Als je toch al ssh gebruikt waarom dan niet 'gewoon' sftp gebruiken? winscp heeft een prima portable client die je gewoon op een usb-stick/ je telefoon etc. bij je kan hebben... (of psftp/pscp van de maker van putty)

[ Voor 9% gewijzigd door Keeper of the Keys op 10-03-2008 09:57 ]

maandag 10 maart 2008 15:05

Acties:
  • ZpAz
  • Registratie: September 2005
  • Laatst online: 17:49

ZpAz

Topicstarter
Keeper of the Keys schreef op maandag 10 maart 2008 @ 09:56:
Als je toch al ssh gebruikt waarom dan niet 'gewoon' sftp gebruiken? winscp heeft een prima portable client die je gewoon op een usb-stick/ je telefoon etc. bij je kan hebben... (of psftp/pscp van de maker van putty)
Mja, ik heb liever samba, omdat ik dan 'live' kan edditen, ipv dat ik het eerst moet uploaden via een ftp variant. Aangezien ik het gebruik om mijn websites op de server te ontwikkelen. En dan heb ik liever dat ik deze gewoon kan openen in mijn favoriete editor, en daarmee alleen op save hoef te drukken, zodat het meteen wordt opgeslagen, en ik meteen resultaat heb.

Ook kan ik deze shares dan mounten in windows, wat ik ook wel fijn vind.

Claude: "Domain patterns emerge from iteration, not generation." - Tweakers Time Machine Extension | Chrome : FF

maandag 10 maart 2008 16:24

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

als je als laatste regel een 'catch-all log' regel toevoegt zie je vanzelf welke pakketten gedroped worden. Hier kan je vervolgens je firewall op aanpassen.

Mistakes are proof that you are trying...

maandag 10 maart 2008 22:32

Acties:
  • ZpAz
  • Registratie: September 2005
  • Laatst online: 17:49

ZpAz

Topicstarter
Volgens de log wordt constant 53 UDP opgevraagd, en een enkele keer 138 UDP, deze heb ik nu toegevoegd op accept. Maar nog krijg ik in windows

'Network path not found'

Totdat ik de firewal op de linux bak uitzet, dan doet hij het prima.

De logregel:
Mar 10 08:14:54 debian kernel: IN=eth0 OUT= MAC=00:0c:29:cb:c3:b2:00:19:e2:bd:27:c0:08:00 SRC=80.69.67.66 DST=80.69.79.203 LEN=70 TOS=0x00 PREC=0x00 TTL=63 ID=9060 PROTO=UDP SPT=53 DPT=32818 LEN=50
De firewall config
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- localhost localhost
ACCEPT udp -- localhost localhost
ACCEPT udp -- debian.colo.transip.net debian.colo.transip.net
ACCEPT tcp -- debian.colo.transip.net debian.colo.transip.net
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
LOG 0 -- anywhere anywhere LOG level warning

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Claude: "Domain patterns emerge from iteration, not generation." - Tweakers Time Machine Extension | Chrome : FF

dinsdag 11 maart 2008 15:37

Acties:
  • ZpAz
  • Registratie: September 2005
  • Laatst online: 17:49

ZpAz

Topicstarter
In mijn firewall controleerde ik op de destination port, dit had de source port moeten zijn. Het is opgelost. :)

Claude: "Domain patterns emerge from iteration, not generation." - Tweakers Time Machine Extension | Chrome : FF

woensdag 12 maart 2008 00:10

Acties:
  • daft_dutch
  • Registratie: December 2003
  • Laatst online: 02-12-2025

daft_dutch

>.< >.< >.< >.<

ZpAz schreef op maandag 10 maart 2008 @ 15:05:
[...]


Mja, ik heb liever samba, omdat ik dan 'live' kan edditen, ipv dat ik het eerst moet uploaden via een ftp variant. Aangezien ik het gebruik om mijn websites op de server te ontwikkelen. En dan heb ik liever dat ik deze gewoon kan openen in mijn favoriete editor, en daarmee alleen op save hoef te drukken, zodat het meteen wordt opgeslagen, en ik meteen resultaat heb.

Ook kan ik deze shares dan mounten in windows, wat ik ook wel fijn vind.
sshfs misschien :)

>.< >.< >.< >.<

woensdag 12 maart 2008 15:05

Acties:

Verwijderd

Hoe probeer je je server te benaderen in Windows? \\netbios_name of \\ip_nummer?
Probeer het eens op IP nummer, wellicht worden er een aantal poorten van de Netbios (nmbd) service geblokkeerd waardoor de hostnaam niet gevonden kan worden.

Wellicht is het ook wel interessant om naar OpenVPN te kijken, voor dit soort toepassingen. Deze maakt namelijk gewoon een tunnel-interface aan (tun0 in linux) welke je kunt toevoegen aan een aparte (interne) zone, zodat je geen last hebt van de firewall. Ook hoef je SSH niet langer open te hebben naar buiten.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq