Chinaunix

标题: samba如何透过防火墙，我试了好几次都不行 [打印本页]

作者: Apoint 时间: 2006-07-26 18:30
标题: samba如何透过防火墙，我试了好几次都不行
各位大虾

      我的samba已经都正常运行了，现在想把防火墙开启时就不行了，我也参考了Samba-HOWTO-Collection这篇文章看过的，上面也说了

If you are setting up a firewall, you need to know what TCP and UDP ports to allow and block.
Samba uses the following:

UDP/137 - used by nmbd
UDP/138 - used by nmbd
TCP/139 - used by smbd
TCP/445 - used by smbd

照它的说明，配置iptables为如下：(其中192.168.0.180就是samba服务器本身)
Chain INPUT (policy DROP)
target    prot opt source             destination
ACCEPT    tcp  --  0.0.0.0/0          192.168.0.180    tcp dpt:22
ACCEPT    udp  --  0.0.0.0/0          192.168.0.180    udp dpt:137
ACCEPT    udp  --  0.0.0.0/0          192.168.0.180    udp dpt:138
ACCEPT    tcp  --  0.0.0.0/0          192.168.0.180    tcp dpt:139
ACCEPT    tcp  --  0.0.0.0/0          192.168.0.180    tcp dpt:445

Chain FORWARD (policy DROP)
target    prot opt source             destination

Chain OUTPUT (policy DROP)
target    prot opt source             destination
ACCEPT    tcp  --  192.168.0.180       0.0.0.0/0       tcp spt:22
ACCEPT    udp  --  192.168.0.180       0.0.0.0/0       udp spt:137
ACCEPT    udp  --  192.168.0.180       0.0.0.0/0       udp spt:138
ACCEPT    tcp  --  192.168.0.180       0.0.0.0/0       tcp spt:139
ACCEPT    tcp  --  192.168.0.180       0.0.0.0/0       tcp spt:445

就是不通

我如果把防火墙清除之后，全部改成ACCEPT，samba就正常，

请大虾帮忙，比较急

哦，对了，上面我甚至把4个端口的udp、tcp都设成ACCEPT也不行

作者: platinum 时间: 2006-07-26 19:53
netstat -lnp
看看究竟用到了什么端口

作者: sfyang 时间: 2006-07-26 20:14
可能是137、138的tcp协议没有开。

作者: Apoint 时间: 2006-07-27 08:35
端口我都分析过了，就是这4个端口，而且我也试过，把4个端口的tcp和UDP都ACCEPT的，还是不行

作者: lovegqin 时间: 2006-07-28 16:12
提示: 作者被禁止或删除内容自动屏蔽

作者: kelela 时间: 2006-07-28 16:56
samba只需要开放tcp 139端口，和win不同，不需要开138，445之类的端口

作者: shikongcike 时间: 2006-07-28 23:19
是不是开了防火墙后没有打开samba的端口啊！！！

作者: shikongcike 时间: 2006-07-28 23:38
是不是开了防火墙后没有打开samba的端口啊！！！

作者: lovegqin 时间: 2006-07-31 08:02
提示: 作者被禁止或删除内容自动屏蔽

作者: bingosek 时间: 2006-07-31 09:13
我想应该是output出问题，应该开放establish连接

作者: kelela 时间: 2006-07-31 19:26

原帖由 lovegqin 于 2006-7-31 08:02 发表
我试了一下，必须照我上面的做，只打开139是不行的

我在以前rh9和现在的centos 4.2上都试过，只开139就行了

作者: platinum 时间: 2006-07-31 22:06

原帖由 lovegqin 于 2006-7-28 16:12 发表
我在我的机器上试成功了我的OS是AS4.0
你试试看可不可以.
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT - ...

http://bbs.chinaunix.net/viewthr ... &extra=page%3D1

作者: Apoint 时间: 2006-08-04 08:51

原帖由 lovegqin 于 2006-7-28 16:12 发表
我在我的机器上试成功了我的OS是AS4.0
你试试看可不可以.
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT - ...

谢谢5楼兄弟，我试了你的方法，成功了

作者: lovegqin 时间: 2006-08-04 10:35
提示: 作者被禁止或删除内容自动屏蔽

作者: platinum 时间: 2006-08-04 10:38

原帖由 lovegqin 于 2006-8-4 10:35 发表
个人觉得
将默认规则设为DROP没有什么不可，只是目地不同，所以规则不同。
一句话：“灵活运用”
并不是不同意法王的看法。

一般没必要，除非想限制自己对外的访问，而且必须自己清楚整个数据包的传输过程

作者: lovegqin 时间: 2006-08-04 12:53
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)