Samba et iptables

Support Debian
#1

Bonsoir,

Je souhaite ouvrir le firewall de mon serveur au service samba.

N’ayant rien trouvé de consistant sur le site de samba (pas trop bien faite la doc sur ce site) j’ai essayé de faire un netstat avec et sans deamon samba.

Un diff me donne:

tcp 445 (ssl ???)
udp 137
udp 138
tcp 139
udp 32772 (ce port change à chaque connexion client)

En m’inspirant d’un exemple du net j’ai fait ceci qui semble fonctionner:

# défaut --> DROP pour tout

# Autorisation Samba
iptables -A INPUT -s 192.168.0.151/192.168.0.158 -p udp -m udp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.0.151/192.168.0.158 -p udp -m udp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.0.151/192.168.0.158 -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.0.151/192.168.0.158 -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

Je n’y ai pas mis les ports 32xxx en udp et ça semble fonctionner malgré tout.

Qu’avez-vous dans vos iptables pour Samba ?

#2

Je pense que tu les a tous cités.
Mais c’est simple à retrouver: ce sont les mêmes que ceux nécessaires au réseau microsoft. Le protocole est strictement le même, c’est juste que microsoft s’est permis de renommer le protocole (public, normalisé) à sa sauce…
Tu cherches les ports du patage de fichier sous win, et tu as les ports samba.
Mais personnellement, je n’ai jamais pensé ouvrir du samba sur un pare feu.
PS: les ports 32XXX doivent être des paquets sortant, et donc pas la peine de les ouvrir je pense .

#3

J’ai bien été obligé de faire quelque-chose au niveau d’iptables pour samba car après la mise en place du firewall sur mon serveur de fichier il était devenu impossible de s’y connecter.

Par contre, comme je préfère éviter les “faux positifs” j’aimerais journaliser les DROP de la poltique par défaut:

[code]# Règles par défault
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT

ici les règles pour “ouvrir” les tables INPUT et FORWARD

[/code]

Si je remplace le target DROP par LOG dans les policy par défaut, il m’envoie balader…(Bad policy name)

Je n’ai pas, non plus, trouvé le moyen d’envoyer les log vers un fichier de mon choix plutôt que dans syslog.