URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62404
[ Назад ]

Исходное сообщение
"NBT в IPFW"
Отправлено zyakwa , 05-Дек-05 12:39

Добрый день.
Очень прошу помощи, хотя бы в указании направления, куда копать.
Ситуация: FreeBSD 5.4, Samba 3, IPFW, серая сетка без DNS.
Пользователи из-под Windows обращаются на файл-сервер по его hostname. При включении файрвола даже в режиме OPEN (когда allow ip any to any) "режутся" широковещательные NBT-запросы. Т.о. к серверу можно обратиться только по IP-адресу.
Насколько мне известно, NBT – это NetBUEI, инкапсулированный в IP. Снифер тоже подтверждает, что NBT – это IP пакет. Однако файрвол их «режет» (повторюсь: даже при полностью открытом IP-трафике). Nmblookup, запущенный на сервере, не разрешает даже собственное имя! Разрешение имени начинает работать только после выгрузки файрвола.
В чем дело? Как разрешить NBT в IPFW? Может, кто-то сталкивался? Поиски в инете успеха не принесли.
Заранее спасибо за любую подсказку.

Содержание

NBT в IPFW,zedi, 12:46 , 05-Дек-05
- NBT в IPFW,kkekk, 12:57 , 05-Дек-05
  - NBT в IPFW,zyakwa, 13:13 , 05-Дек-05
- NBT в IPFW,zyakwa, 13:11 , 05-Дек-05
  - NBT в IPFW,dm, 13:34 , 05-Дек-05

Сообщения в этом обсуждении

"NBT в IPFW"
Отправлено zedi , 05-Дек-05 12:46

Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено проверь эту сторону. Во вторых как ты пересобирал ядро с подержкой IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет то попробуй собрать с этой опцией и посмотреть будет ли работать. И последнее смотри что в логи пишет файрвол хотябы когда делаешь allow ip any to any

"NBT в IPFW"
Отправлено kkekk , 05-Дек-05 12:57

РАЗРЕШИ НЕТБИОС ЧЕРЕЗ ТСП В ХП (КАКИЕ СТРАШНЫЕ СЛОВА 8=)

"NBT в IPFW"
Отправлено zyakwa , 05-Дек-05 13:13

>РАЗРЕШИ НЕТБИОС ЧЕРЕЗ ТСП В ХП (КАКИЕ СТРАШНЫЕ СЛОВА 8=)
Спасибо, попробую.
Но все-таки непонятно, отчего сервер даже сам себя не опознает nmblookup-ом? Тут ведь ХПя уже ни при чем.

"NBT в IPFW"
Отправлено zyakwa , 05-Дек-05 13:11

>Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено
>проверь эту сторону.
Может, что-то не допонимаю, но ведь NetBUEI вообще не из стека TCP/IP? Именно поэтому для совместимости сделан NBT - NetBUEI, завернутый в IP.
Если что-то не так сказала, поправьте, плз.
>Во вторых как ты пересобирал ядро с подержкой
>IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет то попробуй собрать
>с этой опцией и посмотреть будет ли работать. И последнее смотри
>что в логи пишет файрвол хотябы когда делаешь allow ip
>any to any
IPFW включен модулем, в ядре не прописан.
Попробую пересобрать ядро с файрволом.
Спасибо :)

"NBT в IPFW"
Отправлено dm , 05-Дек-05 13:34

>>Во первых разрешение имен NetBUEI это протокол который лежит ниже UDP, соответствено
>>проверь эту сторону.
>
>Может, что-то не допонимаю, но ведь NetBUEI вообще не из стека TCP/IP?
>Именно поэтому для совместимости сделан NBT - NetBUEI, завернутый в IP.
>
>Если что-то не так сказала, поправьте, плз.
>
>>Во вторых как ты пересобирал ядро с подержкой
>>IPFW с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT если нет то попробуй собрать
>>с этой опцией и посмотреть будет ли работать. И последнее смотри
>>что в логи пишет файрвол хотябы когда делаешь allow ip
>>any to any
>
>IPFW включен модулем, в ядре не прописан.
>Попробую пересобрать ядро с файрволом.
эээ.. а прописать последнее правило как ipfw add 65534 deny log all from any to any и
sysctl net.inet.ip.fw.verbose=1
sysctl net.inet.ip.fw.verbose_limit=100
посмотреть в /var/log/security что и каким правилом блокируется
главное чтобы не было правил блокирующих all до 65534. по идеи такое правило (в вашем случае) должно быть одно 65535