hallo .. ich probiere zur zeit port 139 nach aussen zu rejecten mit iptables. ich habe zwei netzwerkkarten drinn
und möchte gerne auf eth0 (die ins inet) port 139 sperren aber auf eth1 (intern) offen lassen ...

ein -A INPUT -p tcp -m tcp --dport 137:139 -j REJECT --reject-with icmp-port-unreachable
macht mir halt alles dicht .. und ich kann halt kein samba mehr intern nutzen ...
wie biege ich das nur auf eth0 ?

gruss
zurk

-i eth0

soweit war ich auch schon ;) leider funktioniert das nicht ... der ist nach wie vor offen ...

bei kompletter sperrung sieht es so aus:
139/tcp filtered netbios-ssn


mit dem -i eth0 so:
139/tcp open netbios-ssn

btw. scann ich dass von nem anderen rechner aus dem inet ...

gruss
zurk

-A OUTPUT vielleicht?

Sorry, hab ich übersehen. Die SMB Pakete sollen ja über das Inetrface eth0 nicht raus.

iptables -A OUTPUT -i eth0 -p tcp -m tcp --dport 137:139 \
-j REJECT --reject-with icmp-port-unreachable

OUTPUT mit -i ist nicht möglich ....

Bei OUTPUT bindest du das Interface mit -o anstatt mit -i

ist schon klar ... nur geht das genauso wenig .. er nimmt zwar die regel an der port ist immer noch offen

merkwuerdig ist, das ich eth1 blocken kann .. also intern ist der dann zu aber eth0 nach aussen offen ... umgekehrt geht es nicht ?!

so schlimm ist es nicht da die samba-conf den rest abblockt .. aber ich haette das ding schon gerne weg ..

hmm hab da wohl die reihenfolge durcheinander gebracht ...
ich machs jetz so das ich auf eth1 erst alles -j ACCEPT mache und dann einfach ne regel die komplett dicht macht ... (vorherige kette überschreibt ja die nachkommende)

Hi!

Am besten vorher alle Ports öffnen die erreicht werden sollen (Interfacegebunden)

dann die Samba Geschichte und dann die default policy wie untenstehend ($localnet ist dann dein lan)



iptables -A INPUT -p tcp --syn -s $localnet --destination-port 139 -j ACCEPT
iptables -p INPUT DROP


Wichtig : Nicht versuchen Löcher abzudichten, sondern generell verschließen und gezielt öffnen.

GreetZ

ReSeT

Hallo,

warum löst Du das problem nicht über die smb.conf mit dem parameter interfaces

das ist ja schon beim einrichten passiert ;) .... mir geht es hier mehr um das prinzip und um die sauberkeit ... brauch ja keiner zu wissen was bei mir auf der mühle alles läuft.

gruss
zurk

Hi,

Frage: Du hast doch einen Client und einen Router, stimmt das?
Dann brauchst du die FORWARD Chain, INPUT und OUTPUT gelten nur für den Rechner auf dem iptables läuft. Also:

iptables -A FORWARD -p tcp -o eth0 --dport 137:139 -j REJECT

sollte passen.

Ciao, Bernie

Du hast leider nichtmal geschrieben _wie_ du ins Internet gehst (modem, isdn, DSL-Modem).

Wenn DSL, dann sit ppp0 das Device deiner Wahl!

Die anderen guten Tipss hast du aber auch schon in den Wind geschlagen.

@zurk: Wie testest du, ob die netbios-Packete geblockt werden? Solltest du von deinem lokalen Rechnen einen Portscan auf die offizielle IP deines Router machen, läuft das übers interne Interface am Router (in deinem Fall eth1) und du hast somit ein "falsches" Ergebnis. Richte deine Firewall nochmals wie am anfang beschrieben auf ppp0 ein und führe einen Online-Test durch.


Gruß, Thomas.

@TThomas
Wenn du mittels DSL (PPPOE) ins inet gehst, dann kannst du auf ethx soviel blocken wie du willst, es bringt dir schlicht nix.

Von einem direkten inet Zugang mittels ethx habe ich in Deutschland noch nichts gelesen (was nicht bedeutet, dass es das nicht gibt), aber IMHO hier eher unwahrscheinlich ist.

Gruß

@ Jinto:

Bitte entschuldige, du hast natürlich völlig recht, ich habe den Beitrag abgeändert.

Sorry wenn ich z.Z. etwas verpeilt bin, habe privat gerade ziemlichen Stress.


Thomas.

kein Problem.

aaalsooo ;)


ok .. das problem ist ja eigentlich schon gelöst (s.posting von mir oben).. wie gesagt ich hatte die falsche reihenfolge der regeln und jetzt funzt es ja ;) ..

getestet habe ich von 'aussen' via nmap ... sorry das ich nicht geschrieben habe das ich dsl nutze ... jedenfalls funktioniert es mit der richtigen reihenfolge von den regeln ... intern ist es offen und von aussen wirds rejected ... prinzipiell wurde das ganze ja durch die smb.conf abgefangen .. sprich ich hab eh nur die entsprechenden ip's zugelassen ... hat mich halt nur genervt das stellenweise die script-kiddies es immer wieder probiert haben ;)

nochmals thx an die vorschläge und hilfe ...

gruss
zurk