Автор Тема: Iptables - port forwarding на netbios  (Прочетена 4537 пъти)

Unknown

  • Участници
  • ***
  • Публикации: 3
    • Профил
Iptables - port forwarding на netbios
« -: Jul 08, 2006, 21:28 »
Искам да пренасочна netbios от рутера към вътрешната мрежа към една от машините. Рутера е със Slackware Linux 10.2, пуснат е и NAT, но проблема е че от външната мрежа 192.168.11.0 не може да се виждат share-овете на pc-то във вътрешната мрежа с IP адрес 192.168.1.2. Рутера работи с две LAN карти eth0 тя е за към външната мрежа с IP 192.168.11.207, а eth1 е за към вътрешната съответно с адрес 192.168.1.1. PC-то към което искам да пренасоча NetBIOS е съответно с адрес 192.168.1.2. Видях в /etc/services портовете които трябва да пренасоча:
 
root@D22_Server:~# cd /etc/
root@D22_Server:/etc# cat services | grep netbios
netbios-ns      137/tcp    #NETBIOS Name Service
netbios-ns      137/udp    #NETBIOS Name Service
netbios-dgm     138/tcp    #NETBIOS Datagram Service
netbios-dgm     138/udp    #NETBIOS Datagram Service
netbios-ssn     139/tcp    #NETBIOS Session Service
netbios-ssn     139/udp    #NETBIOS Session Service

и в /etc/rc.d/rc.local сложих следното

iptables -t nat -A PREROUTING -m tcp -p tcp -d 192.168.1.1 --dport 137:139 -j DNAT --to 192.168.1.2:137-139
iptables -t nat -A PREROUTING -m udp -p udp -d 192.168.1.1 --dport 137:139 -j DNAT --to 192.168.1.2:137-139

За да работи NAT в rc.local съм сложил този ред
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
NAT работи отлчино но пренасочването на портовете за netbios неработи. Ще се радвам на каквито и да е идеи по въпроса.
Активен

the_real_maniac

  • Напреднали
  • *****
  • Публикации: 1258
  • Kernel panic, me - no panic ;-) :-)
    • Профил
Iptables - port forwarding на netbios
« Отговор #1 -: Jul 09, 2006, 02:47 »
1.Какви правила, ако имаш; има във Forward веригите ? И политиката по подразбиране ?

2.И все пак как разбра , че не се виждат от външната мрежа ?
Т.е по-скоро питам пробва ли директно чрез ип адреса да достъпиш pc-то.

\\192.168.11.207\

**също пусни си един скенер от вънка и виж какво излиза**

3. Сигурен ли си , че samba-та на 192.168.1.2 ти работи (правилно) .?

_
Въпросите не са нищо кой знае какво, но са все неща, които не си изяснил напълно и евентуално може би там е ключа.
Активен

Powered by Debian GNU / LINUX /// Intel inside ...

„Насилието е последното убежище на некомпетентността“ - Айзък Азимов (1920 — 1992)

Dean79

  • Напреднали
  • *****
  • Публикации: 151
    • Профил
Iptables - port forwarding на netbios
« Отговор #2 -: Jul 09, 2006, 12:38 »
Пренасочи и порт 445. Мисля , че и той беше нещо замесен, но не съм много сигурен.
Активен

Unknown

  • Участници
  • ***
  • Публикации: 3
    • Профил
Iptables - port forwarding на netbios
« Отговор #3 -: Jul 10, 2006, 01:42 »
Порт 445 също май трябва да се пренасочи ако съдим по следното:
root@D22:/etc# cat services | grep microsoft-ds
microsoft-ds    445/tcp
microsoft-ds    445/udp
Промених пренасочването на netbios в rc.local така:
#forward netbios
iptables -t nat -A PREROUTING -m tcp -p tcp -d 192.168.11.207 --dport 137:139 -j DNAT --to 192.168.1.2:137-139
iptables -t nat -A PREROUTING -m udp -p udp -d 192.168.11.207 --dport 137:139 -j DNAT --to 192.168.1.2:137-139

iptables -t nat -A PREROUTING -m tcp -p tcp -d 192.168.11.207 --dport 445 -j DNAT --to 192.168.1.2:445
iptables -t nat -A PREROUTING -m udp -p udp -d 192.168.11.207 --dport 445 -j DNAT --to 192.168.1.2:445

Проверих Samba на адрес 192.168.1.2(вътрешния адрес към който искам да пренасоча) работи както трябва. Сканирах си tcp портовете nmap на адрес 192.168.11.207(преди това бях писал да пренасочвам от 192.168.1.1 но сега като се замислих 192.168.11.207 е по правилният) от който пренасочвам и излезна следното:

root@D22:~# nmap -sS -O -PI -PT 192.168.11.207

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-07-10 01:30 UTC
Interesting ports on 192.168.11.207:
(The 1659 ports scanned but not shown below are in state: closed)
PORT    STATE    SERVICE
22/tcp  open     ssh
37/tcp  open     time
80/tcp  open     http
113/tcp open     auth
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
631/tcp open     ipp
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.0 - 2.5.20, Linux 2.4.7 - 2.6.11

Nmap finished: 1 IP address (1 host up) scanned in 3.604 seconds
Има някакво раздвижване, но сега като напиша smb://192.168.11.207/ от компютъра с адрес 192.168.1.2 не става пренасочването. Samba се бави сякаш прави нещо и казва internal error и не сработва. Намерих на адрес http://nbfw.sourceforge.net/installation.html Samba netbios forwarder може би с това може да се реши проблема. Но пак се оплетоха нещата, ако имате някави идеи пишете моля.
Активен

vesselinkolev

  • Напреднали
  • *****
  • Публикации: 93
    • Профил
Iptables - port forwarding на netbios
« Отговор #4 -: Jul 10, 2006, 10:44 »
За да спрем полета на глупостта, който явно започва, да кажа няколко думи.

NetBIOS е локален за етернет сегмент протокол. За да се реализира, той използва broadcast съобщения. Да пускате тези съобщения където и да е извън етернет сегмента е турбо безмислено (не ми се ще от сутринта да загрубявам и да казвам по-силни думи).

SMB протокола е ужасно неподатлив на NAT - такава му е конструкцията. Това е описаното в документацията на Samba. Не се опитвайте да правите никакви NAT схеми в netfilter. Резултатите са плачевни.

Изходът е един - WINS. WINS е протокол, който можете да си представите като силно модифицирн DNS, който служи на NT/2K/XP базираните станции, да се намират помежду си в условията на разполагането им в различни мрежи в Интернет. Ако нямате WINS, намирането на дадена машина и споделените ресурси върху нея става само, ако се знае IP адреса:

smb://IP_ADDRESS/
smb://IP_ADDRESS/share_name

и т.н.

Приятно четене на документацията на SMB, Samba и помощните страници на smb и nmb. И по-малко абсурдни решения ви желая.



Активен

  • Гост
Iptables - port forwarding на netbios
« Отговор #5 -: Jul 11, 2006, 00:34 »
Дам така е принципно.

Обаче с по-новите ядра си има и netbios conntrack support, понеже е ясно че иначе netbios udp broadcast-ите няма начин да се НАТ-ват.

Честно казано никога не съм си играл с тази джаджа (водят я experimental още), но вероятно може да улесни до известна степен nat-ването на netbios.

С тебе очевидно не се обичаме особено, но пък в случая би ми било интересно твоето мнение по въпроса '<img'>
Активен