Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-06-2013 02:33:36

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

iptables dur dur samba thunar ou nautilus [abandonné]

bonjour,

je suis sur un reseau debian wheezy 64 bits, un client des serveurs

je veux faire du partage de fichiers samba entre postes

à l'installation tout mes partages fonctionnaient correctement, les règles par défaut d'iptables à l'installation me permettant de faire ce que je voulais cool

sur le serveur, pour l'instant je ne touche qu'à celui ci, je ne peux plus parcourir mon réseau avec thunar ( xfce sur le serveur ) et nautilus ( gnome 3 sur le client )

mon smbclient sur le serveur :

smbclient -L 192.168.1.2 -N
Domain=[MONGROUPE] OS=[Unix] Server=[Samba 3.6.6]

  Sharename       Type      Comment
  ---------       ----      -------
  print$          Disk      Printer Drivers
  partage         Disk      partage
  IPC$            IPC       IPC Service (SERVEUR)
  Epson-Stylus-SX110 Printer   EPSON Epson Stylus SX110
Domain=[MONGROUPE] OS=[Unix] Server=[Samba 3.6.6]

  Server               Comment
  ---------            -------
  CLIENT              CLIENT
  SERVEUR         SERVEUR

  Workgroup            Master
  ---------            -------
  MONGROUPE           CLIENT
 



mon fichier parefeu dans mon /etc/init.d

:

### BEGIN INIT INFO
# Provides:          parefeu
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Demarrage du script lors de la sequence de boot
# Description:       Ajout des regles de parefeu
### END INIT INFO

#!/bin/sh
case "$1" in
start)
echo - Initialisation du firewall :
# Vidage des tables et des regles personnelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage des regles et des tables : [OK]
# Interdire toutes connexions entrantes et sortantes
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Interdire toutes les connexions entrantes et sortantes : [OK]
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

#boucle locale
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# ---

# SSH In
iptables -t filter -A INPUT -p tcp --dport xxxx -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport xxxx -j ACCEPT

#5938
iptables -t filter -A OUTPUT -p tcp --dport 5938 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 5938 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
# FTP Out
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT

# FTP In
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# FTP Out port transfert données

iptables -t filter -A OUTPUT -p tcp --dport 55000:55100 -j ACCEPT

# FTP In port transfert données
iptables -t filter -A INPUT -p tcp --dport 55000:55100 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT




# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT


# samba 137 udp Out
iptables -t filter -A OUTPUT -p udp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 137 udp In
iptables -t filter -A INPUT -p udp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 137 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 137 tcp In
iptables -t filter -A INPUT -p tcp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT





# samba 138 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 138 tcp In
iptables -t filter -A INPUT -p tcp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 138 udp Out
iptables -t filter -A OUTPUT -p udp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 138 udp In
iptables -t filter -A INPUT -p udp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT




# samba 139 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 139 tcp In
iptables -t filter -A INPUT -p tcp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 139 udp Out
iptables -t filter -A OUTPUT -p udp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 139 udp In
iptables -t filter -A INPUT -p udp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 445 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 445 tcp In
iptables -t filter -A INPUT -p tcp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 137 udp Out
iptables -t filter -A OUTPUT -p udp --dport 137 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 137 udp In
iptables -t filter -A INPUT -p udp --dport 137 -s 10.0.2.0/24 -d 10.0.2.0/24 -jACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 137 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 137 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 137 tcp In
iptables -t filter -A INPUT -p tcp --dport 137 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 138 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 138 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 138 tcp In
iptables -t filter -A INPUT -p tcp --dport 138 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 138 udp Out
iptables -t filter -A OUTPUT -p udp --dport 138 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 138 udp In
iptables -t filter -A INPUT -p udp --dport 138 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 139 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 139 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 139 tcp In
iptables -t filter -A INPUT -p tcp --dport 139 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 139 udp Out
iptables -t filter -A OUTPUT -p udp --dport 139 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 139 udp In
iptables -t filter -A INPUT -p udp --dport 139 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 445 tcp Out
iptables -t filter -A OUTPUT -p tcp --dport 445 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT

# samba 445 tcp In
iptables -t filter -A INPUT -p tcp --dport 445 -s 10.0.2.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# mule
iptables -t filter -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4662 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 4672 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 4665 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 4672 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 4665 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4661 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4661 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4712 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4712 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4711 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4711 -j ACCEPT

echo - Initialisation des regles : [OK]
;;
status)
echo - Liste des regles :
iptables -n -L
;;
stop)
# Vidage des tables et des regles personnelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage des regles et des tables : [OK]
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo - Autoriser toutes les connexions entrantes et sortantes : [OK]
;;
esac
exit 0



mon iptables -L :

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  localhost            anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:xxxx
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http-alt
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:ftp-data:ftp
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:55000:55100
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
*ACCEPT     udp  --  192.168.1.0/24       192.168.1.0/24       udp dpt:netbios-ns
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:netbios-ns
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:netbios-dgm
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.1.0/24       192.168.1.0/24       udp dpt:netbios-dgm
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:netbios-ssn
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.1.0/24       192.168.1.0/24       udp dpt:netbios-ssn
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:microsoft-ds
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     udp  --  10.0.2.0/24          10.0.2.0/24          udp dpt:netbios-ns
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:netbios-ns
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:netbios-dgm
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     udp  --  10.0.2.0/24          10.0.2.0/24          udp dpt:netbios-dgm
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:netbios-ssn
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     udp  --  10.0.2.0/24          10.0.2.0/24          udp dpt:netbios-ssn
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:microsoft-ds
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere             udp dpt:4672
ACCEPT     udp  --  anywhere             anywhere             udp dpt:4665
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4661
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4712
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4711

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:xxxx
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5938
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http-alt
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:ftp-data:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:55000:55100
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     udp  --  192.168.1.0/24       192.168.1.0/24       udp dpt:netbios-ns
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:netbios-ns
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:netbios-dgm
ACCEPT     udp  --  192.168.1.0/24       192.168.1.0/24       udp dpt:netbios-dgm
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:netbios-ssn
ACCEPT     udp  --  192.168.1.0/24       192.168.1.0/24       udp dpt:netbios-ssn
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.0/24       tcp dpt:microsoft-ds
ACCEPT     udp  --  10.0.2.0/24          10.0.2.0/24          udp dpt:netbios-ns
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:netbios-ns
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:netbios-dgm
ACCEPT     udp  --  10.0.2.0/24          10.0.2.0/24          udp dpt:netbios-dgm
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:netbios-ssn
ACCEPT     udp  --  10.0.2.0/24          10.0.2.0/24          udp dpt:netbios-ssn
ACCEPT     tcp  --  10.0.2.0/24          10.0.2.0/24          tcp dpt:microsoft-ds
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4662
ACCEPT     udp  --  anywhere             anywhere             udp dpt:4672
ACCEPT     udp  --  anywhere             anywhere             udp dpt:4665
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4661
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4712
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4711
 



sachant qu'à partir de thunar en local :

smb://serveur/partage

fonctionne et pas à distancesur le client ou je suis obligé de faire

smb://192.168.1.xx/partage



voilou, je pense que je dois louper juste une petite chose, mais ça me dérange, c'est sur c'est un soucis de parefeu yikes mais où ???:|

je vous remercie beaucoup pour votre aide en espérant que j'ai donné assez d'infos big_smile

Dernière modification par totophe56 (29-09-2013 23:38:05)

Hors ligne

#2 28-06-2013 17:43:58

ostyll
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.0.0-1-amd64
(G)UI : Gnome 2.30.2
Inscription : 13-05-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Salut,

Est ce que ta pu confirmer que c'est le firewall qui est en cause ? Ta essayer de tout laisser passer :

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

et essai. Si fonctionne c'est un problème de règle firewall sinon c'est autre chose wink

Hors ligne

#3 29-06-2013 00:39:20

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

ostyll a écrit :

Salut,

Est ce que ta pu confirmer que c'est le firewall qui est en cause ? Ta essayer de tout laisser passer :

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

et essai. Si fonctionne c'est un problème de règle firewall sinon c'est autre chose wink



à l'installation originelle tout était fonctionnel, ça a commencé à poser problème après mes débuts de bidouillages iptables smile

Hors ligne

#4 04-08-2013 03:31:11

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

bonjour

j'avance gentiment dans ma démarche de partages réseau samba avec thunar

mon soucis est bien au niveau du parefeu qui me bloque, parefeu désactivé, je navigue bien dans mes partages
un

lsof -i -n -P

me donne :

gvfsd-smb 4646       user   12u  IPv4  22167      0t0  TCP 192.168.1.2:33845->192.168.1.2:139 (ESTABLISHED)
gvfsd-smb 4646       user   20u  IPv4  22336      0t0  TCP 192.168.1.2:33846->192.168.1.2:139 (ESTABLISHED)
gvfsd-smb 4646       user   22u  IPv4  22661      0t0  TCP 192.168.1.2:33847->192.168.1.2:139 (ESTABLISHED)
 



les ports 33845 33846 33847 changent donc je ne peux ouvrir ces ports en particulier et ouvrir une plage de port de 15 ou 20000 ports ne me semble pas judicieux lol

comment puis je n'autoriser que le service gvfsd-smb alors qui n'est pas compris dans la liste de /etc/services ??

merci beaucoup pour vos conseils

Totophe56

Hors ligne

#5 04-08-2013 10:07:41

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Salut,

Les ports 33845 etc. sont les ports du client d'où sort la connexion vers le serveur, sur lequel elle arrive sur le port 139. C'est donc le port 139 du serveur qu'il te faut ouvrir. Si mes souvenirs sont bons, il y a d'autres ports à ouvrir en plus du 139, genre 137 et 445.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 04-08-2013 10:34:07

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

bonjour,

ces ports sont ouverts, un extrait de mes règles iptables concernant samba

# samba 135 tcp In
iptables -t filter -A INPUT -p tcp --dport 135 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 135 udp In
iptables -t filter -A INPUT -p udp --dport 135 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 137 udp In
iptables -t filter -A INPUT -p udp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 137 tcp Out
#iptables -t filter -A OUTPUT -p tcp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 137 tcp In
iptables -t filter -A INPUT -p tcp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT





# samba 138 tcp Out
#iptables -t filter -A OUTPUT -p tcp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 138 tcp In
iptables -t filter -A INPUT -p tcp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 138 udp Out
#iptables -t filter -A OUTPUT -p udp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 138 udp In
iptables -t filter -A INPUT -p udp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT




# samba 139 tcp Out
#iptables -t filter -A OUTPUT -p tcp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 139 tcp In
iptables -t filter -A INPUT -p tcp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 139 udp Out
#iptables -t filter -A OUTPUT -p udp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

# samba 139 udp In
iptables -t filter -A INPUT -p udp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 445 tcp In
iptables -t filter -A INPUT -p tcp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 445 udp In
iptables -t filter -A INPUT -p udp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# samba 631 tcp In
iptables -t filter -A INPUT -p tcp --dport 631 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 631 udp In
iptables -t filter -A INPUT -p udp --dport 631 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



de plus toues les connexions sortantes sont autorisées

#autoriser toute connexion sortante

iptables -P OUTPUT ACCEPT



merci de l'intérêt que tu portes à mon soucis cool

Hors ligne

#7 04-08-2013 10:39:10

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Y'a pas le 445 dans ton histoire.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 04-08-2013 12:41:16

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

captnfab a écrit :

Y'a pas le 445 dans ton histoire.



bah si tongue

# samba 445 tcp In
iptables -t filter -A INPUT -p tcp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# samba 445 udp In
iptables -t filter -A INPUT -p udp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 

Hors ligne

#9 04-08-2013 13:25:54

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Ah ouais, je n'avais pas vu que ça continuait en dessous.
Au fait, c'est le firewall du client ou du serveur que tu dois dégommer pour que ça marche ?

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 04-08-2013 14:14:16

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

captnfab a écrit :

Ah ouais, je n'avais pas vu que ça continuait en dessous.
Au fait, c'est le firewall du client ou du serveur que tu dois dégommer pour que ça marche ?




celui du serveur

( toutes les connexions sortantes sont autorisées );)

Hors ligne

#11 04-08-2013 14:26:32

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Essaye avec le firewall tel que tu l'as, mais en virant toutes les règles relatives aux connexions sortantes :
(Tu peux faire un : )

iptables -P OUTPUT ACCEPT


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#12 05-08-2013 00:03:20

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

captnfab a écrit :

Essaye avec le firewall tel que tu l'as, mais en virant toutes les règles relatives aux connexions sortantes :
(Tu peux faire un : )

iptables -P OUTPUT ACCEPT



vi vi, regarde post 6 wink

Hors ligne

#13 05-08-2013 19:07:42

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Mhh, bon, je ne vois pas, je ne peux guère que te renvoyer ici : http://troy.jdmz.net/samba/fw/ où le sujet semble bien traité.

Ah, et il y a un pb dans tes règles, probablement pas lié mais, « iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT » ne doit être mis qu'une fois au total.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#14 26-09-2013 02:10:40

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

merci pour ton aide smile

je n'ai pas répondu avant car je galère depuis mais la piste que tu m'a donné règle certains soucis je pense

je ne peux toujours pas naviguer sur mon réseau à partir de thunar si mon parefeu est actif ( par contre très bien sans )

un peu normal je pense j'ai regardé avec

lsof

et thunar empreinte des ports supplémentaires et aléatoires donc c'est ingérable roll

donc j'ai créé un lanceur sur mon bureau pointant directement sur mes partages du type

 smb://192.168.1.xx/monpartage

et zou accès direct
edit sans pare feu on peu accéder aussi par

smb://nompc/monpartage

et pas avec le parefeu

mon script parefeu fonctionnel et commenté, j'ai bien pompé sur beaucoup présents sur la toile

je pense que je pourrai sécuriser un peu plus les partage samba en ajoutant

 -s 192.168.1.0/24 -d 192.168.1.0/24

mais je ne pense pas ça nécessaire vu que je suis derrière une box

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Demarrage du script lors de la sequence de boot
# Description:       Ajout des regles de parefeu
### END INIT INFO

#!/bin/sh
case "$1" in
start)
echo - Initialisation du firewall :
# Vidage des tables et des regles personnelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage des regles et des tables : [OK]
# Interdire toutes connexions entrantes
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP

#autoriser toute connexion sortante

iptables -P OUTPUT ACCEPT

echo - Interdire toutes les connexions entrantes et sortantes : [OK]
# Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

echo - Ne pas casser les connexions établies : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT

#boucle locale
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# ---

# SSH In
iptables -t filter -A INPUT -p tcp --dport monportssh -j ACCEPT

# x2go
iptables -t filter -A INPUT -p tcp --dport 40520:40530 -j ACCEPT

#5938
iptables -t filter -A INPUT -p tcp --dport 5938 -j ACCEPT

# DNS In/Out
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT

# FTP In
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT

# FTP In port transfert données
iptables -t filter -A INPUT -p tcp --dport 55000:55100 -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT


# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT

# samba 135 tcp In
iptables -t filter -A INPUT -p tcp --dport 135 -j ACCEPT

# samba 135 udp In
iptables -t filter -A INPUT -p udp --dport 135 -j ACCEPT

# samba 137 udp In
iptables -t filter -A INPUT -p udp --dport 137 -j ACCEPT

# samba 137 tcp In
iptables -t filter -A INPUT -p tcp --dport 137 -j ACCEPT

# samba 138 tcp In
iptables -t filter -A INPUT -p tcp --dport 138 -j ACCEPT

# samba 138 udp In
iptables -t filter -A INPUT -p udp --dport 138 -j ACCEPT

# samba 139 tcp In
iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT

# samba 139 udp In
iptables -t filter -A INPUT -p udp --dport 139 -j ACCEPT

# samba 445 tcp In
iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT

# samba 445 udp In
iptables -t filter -A INPUT -p udp --dport 445 -j ACCEPT

# samba 631 tcp In
iptables -t filter -A INPUT -p tcp --dport 631 -j ACCEPT

# samba 631 udp In
iptables -t filter -A INPUT -p udp --dport 631 -j ACCEPT

#mule
iptables -t filter -A INPUT -p tcp --dport 4668 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 50000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 4671 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 4675 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 7111 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1176 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 3883 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4661 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4184 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 9939 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 5041 -j ACCEPT



echo - Initialisation des regles : [OK]
;;
status)
echo - Liste des regles :
iptables -n -L
;;
stop)
# Vidage des tables et des regles personnelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage des regles et des tables : [OK]
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo - Autoriser toutes les connexions entrantes et sortantes : [OK]
;;

esac
exit 0
 



merci encore captnfab smile

Dernière modification par totophe56 (26-09-2013 02:23:24)

Hors ligne

#15 26-09-2013 10:22:22

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Salut !

Mhh, pour transformer "nompc" en son IP, samba utilise la résolution de nom NetBIOS.

cat /etc/services| grep -i netbios


netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp
netbios-dgm     138/tcp                         # NETBIOS Datagram Service
netbios-dgm     138/udp
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp



Ces ports sont bien ouverts également ?

On dirait que oui, mais c'est étrange que ce soit cela qui bloque. À vérifier donc.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#16 27-09-2013 16:13:20

plegrand
Membre
Distrib. : Debian SID
Noyau : Linux 3.10-3-amd64
(G)UI : Gnome
Inscription : 25-09-2013

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Sinon, tu peux aussi installer ulogd, configurer iptables pour qu' iptables log ce qu'il drop. Tu seras fixé
Chez moi, j'autorise les ports TCP 139 et 445 en entrée et les ports UDP 137 138
Pour le montage de mes partages j'utilise gvfs-mount, ce qui n'est peut être pas la façon la plus légère de procéder mais qui marche bien
Pour la conversion ip noms tu peux renseigner ton fichier hosts


4458 était une erreur de typo  ;-)

Dernière modification par plegrand (13-05-2014 09:59:35)

Hors ligne

#17 29-09-2013 20:43:39

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

Bonsoir,

cat /etc/services| grep -i netbios
netbios-ns  137/tcp       # NETBIOS Name Service
netbios-ns  137/udp
netbios-dgm 138/tcp       # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp       # NETBIOS session service
netbios-ssn 139/udp
 



tout pareil

vais voir avec ulog, mais je n'ai pas vu de port 4458 dans mes lsof de souvenir neutral

le fichier hosts est bien renseigné, cela fonctionne sans le réseau smile

Hors ligne

#18 29-09-2013 23:37:02

totophe56
Membre
Distrib. : Jessie 64 bits
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE
Inscription : 22-07-2010

Re : iptables dur dur samba thunar ou nautilus [abandonné]

j'en reste là avec la navigation avec thunar, trop de ports à ouvrir qui ne sont pas les mêmes et qui changent si un poste est démarré avant l'autre est est ou non déclaré en master samba

le lanceur

smb://192.168.xx.xx/monpartage

fonctionne très bien sur toutes les machines déclarées master ou non donc pas nécessaire de fragiliser la sécurité du réseau en ouvrant tout plein de ports

merci pour votre aide, j'ai appris pas mal de choses cool

j'en reste donc avec les ports traditionnels en réduisant l'accès au réseau local

# samba 135 tcp In
iptables -t filter -A INPUT -p tcp --dport 135 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 135 udp In
iptables -t filter -A INPUT -p udp --dport 135 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 137 udp In
iptables -t filter -A INPUT -p udp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 137 tcp In
iptables -t filter -A INPUT -p tcp --dport 137 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 138 tcp In
iptables -t filter -A INPUT -p tcp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 138 udp In
iptables -t filter -A INPUT -p udp --dport 138 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 139 tcp In
iptables -t filter -A INPUT -p tcp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 139 udp In
iptables -t filter -A INPUT -p udp --dport 139 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 445 tcp In
iptables -t filter -A INPUT -p tcp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 445 udp In
iptables -t filter -A INPUT -p udp --dport 445 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 631 tcp In
iptables -t filter -A INPUT -p tcp --dport 631 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
# samba 631 udp In
iptables -t filter -A INPUT -p udp --dport 631 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

Hors ligne

Pied de page des forums