Честно скажу, искал, но нужного не нашел.
Поставил samb'у 3 на FreeBSD 6.2 + PF Firewall
Сетка стоит на win2003 server, он же контроллер домена.
Привязал samb'у к домену, все работает, если не включен файрволл.
Включаешь файрволл, samba продолжает работать, но через некоторое время до нее уже не достучаться. Выключаешь файрволл, опять работает.
Правила для pf:
-----------------------------------------------------------------------------
$lan_net="192.168.0.0/24"
$int_if="bce0" # 192.168.0.1
# эти правила открывают порты tcp: 139, 445 и udp: 137, 138
# pass samba traffic from/to lan_net to/from samba server.
pass in on $int_if inet proto udp from $lan_net to $int_if port {netbios-ns, netbios-dgm}
pass out on $int_if inet proto udp from $int_if port {netbios-ns, netbios-dgm} to $lan_net

pass in on $int_if inet proto tcp from $lan_net to $int_if port {netbios-ssn, microsoft-ds}
pass out on $int_if inet proto tcp from $int_if port {netbios-ssn, microsoft-ds} to $lan_net

# из netstat'a увидел, что с выключенным pf висят постоянные соединения с контроллером домена на портах 389 и 445
# pass samba traffic to/from domain_controller
pass in on $int_if inet proto tcp from $domain_controller port {ldap, microsoft-ds} to $int_if
pass out on $int_if inet proto tcp from $int_if to $domain_controller port {ldap, microsoft-ds}

# в messages попадали записи, что winbind не может отправить в lan_net udp с порта 137, разрешил. Кстати, подскажите зачем winbind это делает, бывает и броадкасты шлет?
# pass udp for winbindd
# !bad! rule
pass in on $int_if inet proto udp from $lan_net port netbios-ns to $int_if
pass out on $int_if inet proto udp from $int_if to $lan_net port netbios-ns
-----------------------------------------------------------------------------

Еще оказалось, что с включенным pf не удается получить билет от КД, т.е.
kinit admin@MYDOMAIN не проходит.

Подскажите, что нужно еще разрешить? А то я потихоньку начинаю ненавидеть microsoft, зачем столько всего дял простого обмена файлами по сети (на фре принтера даже нет).

• Samba и Firewall (pf),CMEX, 07:20 , 21-Сен-07
  • Samba и Firewall (pf),eax0r, 05:53 , 24-Сен-07

>Еще оказалось, что с включенным pf не удается получить билет от КД, т.е.
>kinit admin@MYDOMAIN не проходит.

Ну вот - сам же нашел! :)

>Подскажите, что нужно еще разрешить? А то я потихоньку начинаю ненавидеть microsoft,
>зачем столько всего дял простого обмена файлами по сети (на фре принтера даже нет).

"Такой неприязЪнь испитываю - даже кюшать не могу!"(С)Мимино :)

Вот дока от "империи зла", смотри секцию "Ports required for Active Directory communication and Kerberos": http://technet.microsoft.com/en-us/library/f9733398-a21e-4b4...

Сами же церберы утверждают что "Ports 88/tcp/udp, 464/udp and 749-751/tcp/udp must be open for all users" - но то не M$(C)Kerberos а обычный :)

Удачи.

>Вот дока от "империи зла", смотри секцию "Ports required for Active Directory
>communication and Kerberos": http://technet.microsoft.com/en-us/library/f9733398-a21e-4b4...
>
>Сами же церберы утверждают что "Ports 88/tcp/udp, 464/udp and 749-751/tcp/udp must be
>open for all users" - но то не M$(C)Kerberos а обычный
>:)
>
>Удачи.

Спасибо, кажется, помогло! работает =)
Разрешил для КД еще tcp/udp 88 и 389 + tcp 3268