ahora Samba y SuSEfirewall2
Cordial saludo a todos.. ahora tengo un problemita on el SuSEfirewall2 y samba, la maquina con samba tiene 2 tarjetas de red (es un servidor que hace detodo) correo..proxy..ldap..samba..cortafuegos..(se que no es para nada buena idea eso asi, pero cuando no hay para mas, ni modo el servidor samba sirve la red interna, y en el cortafuegos si protejo la red interna y activo servidor samba para la red interna no me permite conectarme al dominio, si desactivo "proteger cortafuegos de la red interna", asi si funciona el dominio de Samba, pero asi no me funciona a mi... jaime V
El Viernes, 18 de Noviembre de 2005 23:31, jvelez@dinanet.net.co escribió:
e y en el cortafuegos si protejo la red interna y activo servidor samba para la red interna no me permite conectarme al dominio,
* Activar una proteccion general, "proteger red interna" sin mas y querer dar servicios internos es incongruente, proteger (aunque sea una pseudo-denominacion comercial) significa que a la red interna no se le permita acceder a servicios alojados en la maquina gateway-cortafuegos en este caso, aparte que en teoria deberia desactivar el enmascaramiento en las redes, salvo los puertos especificamente abiertos para la interfaz en cuestion (desde iproute2 los servicios se asocian a direcciones ip y no al "hierro") y otras cosas que no vienen a cuento.
si desactivo "proteger cortafuegos de la red interna", asi si funciona el dominio de Samba, pero asi no me funciona a mi...
* Esto creo recordar que son opciones de manejo del cortafuegos a traves de yast2, no es una buena opcion, basicamente por que es obvio que no has visto lo que hace, el fichero /etc/sysconconfig/SuSEfirewall2 creo que es bastante mas claro (que es el fichero que se modifica cuando tocas algo del cortafuegos a traves de yast), aunque limitado (no deja de ser un front-end que aplica reglas iptables segun los valores-parametros, humanamente comprensibles, supuestamente, a incluir en el mencionado fichero), la lectura "pausada" de los comentarios de este fichero deberia de dejarte las cosas mas claras, aunque no cumplira los requerimientos de redes complejas, si es un mecanismo de manejo de cortafuegos muy potente, entre otras cosas por reglas incluidas por defecto en cuanto a control de trafico y problemas conocidos.
a lo mejor no me hice entender, pero cuando uno " proteje de la red interna" cierra el cortafuegosa todos los servicios ... menos los que explicitamente se digan.. en mi caso permito Samba "permitir servidor samba" cando expecifique el servicio por el nombre (opcion de Yast) el cortafuegos impidio la coneccion a samba, pero parece que si especifico los puertos por el numero UDP 137-138 TCP 139 y 445 el Servidor Samba si actuo como PDC osea ya solucione la cosa... y no hay incongruencia como usted menciona.. porque por experiencia la mayoria de ataques a un servidor vienen mas de las redes internas que de internet, en mi caso protejo de la red interna y solo permito samba, ssh http y lo que necesito.. Jaime V
El Viernes, 18 de Noviembre de 2005 23:31, jvelez@dinanet.net.co escribió:
e y en el cortafuegos si protejo la red interna y activo servidor samba para la red interna no me permite conectarme al dominio,
* Activar una proteccion general, "proteger red interna" sin mas y querer dar servicios internos es incongruente, proteger (aunque sea una pseudo-denominacion comercial) significa que a la red interna no se le permita acceder a servicios alojados en la maquina gateway-cortafuegos en este caso, aparte que en teoria deberia desactivar el enmascaramiento en las redes, salvo los puertos especificamente abiertos para la interfaz en cuestion (desde iproute2 los servicios se asocian a direcciones ip y no al "hierro") y otras cosas que no vienen a cuento.
si desactivo "proteger cortafuegos de la red interna", asi si funciona el dominio de Samba, pero asi no me funciona a mi...
* Esto creo recordar que son opciones de manejo del cortafuegos a traves de yast2, no es una buena opcion, basicamente por que es obvio que no has visto lo que hace, el fichero /etc/sysconconfig/SuSEfirewall2 creo que es bastante mas claro (que es el fichero que se modifica cuando tocas algo del cortafuegos a traves de yast), aunque limitado (no deja de ser un front-end que aplica reglas iptables segun los valores-parametros, humanamente comprensibles, supuestamente, a incluir en el mencionado fichero), la lectura "pausada" de los comentarios de este fichero deberia de dejarte las cosas mas claras, aunque no cumplira los requerimientos de redes complejas, si es un mecanismo de manejo de cortafuegos muy potente, entre otras cosas por reglas incluidas por defecto en cuanto a control de trafico y problemas conocidos.
jvelez@dinanet.net.co escribió:
Cordial saludo a todos..
ahora tengo un problemita on el SuSEfirewall2 y samba, la maquina con samba tiene 2 tarjetas de red (es un servidor que hace detodo) correo..proxy..ldap..samba..cortafuegos..(se que no es para nada buena idea eso asi, pero cuando no hay para mas, ni modo
el servidor samba sirve la red interna, y en el cortafuegos si protejo la red interna y activo servidor samba para la red interna no me permite conectarme al dominio, si desactivo "proteger cortafuegos de la red interna", asi si funciona el dominio de Samba, pero asi no me funciona a mi...
jaime V
Hola Jaime, como decia otro comentario la configuracion se maneja en "/etc/sysconfig/SuSEfirewall2" (tiene mas opciones que las que se presentan mediante YaST).... me parece que lo que sucede es que si activas FW_PROTECT_FROM_INTERNAL="yes" entonces debes de indicar explicitamente los puertos que van a aceptar conexiones desde la interface LAN, en el caso de samba tendrian que ser 139 y 445 por lo que tendrias que agregar FW_SERVICES_INT_TCP="139 445" y por supuesto ayudaria tener FW_SERVICE_AUTODETECT="yes" y FW_SERVICE_SAMBA="yes". Espero te sean de ayuda mis comentarios Saludos Marcus
participants (3)
-
jose maria
-
jvelez@dinanet.net.co
-
Marco Mendoza