Помогите с монтированием сетевого ресурса

Автор: bsm Дата: 17.10.2007 15:50 Сервер (ASPLinux 11), при попытке smb-соединения с Windows-склиентом, получает отказ, хотя все локальные Windows-клиенты между собой общаются свободно и на сетевые ресурсы сервера имеют доступ.

При попытке smb-подключения к удалённому клиенту своей сети получаю нижеприведенные сообщения-

timeout connecting to 192.168.0.106:445
timeout connecting to 192.168.0.106:139
Error connecting to 192.168.0.106 (Операция уже выполняется)
1499: Connection to 192.168.0.106 failed
SMB connection failed

В логе tcpdump видно нижеприведенное-

[root@maestro ~]#tcpdump -i etho host 192.168.0.106
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:46:16.340960 arp who-has Vodzinsky tell Bessmertnyj
11:46:16.341107 arp reply Vodzinsky is-at 00:0e:2e:a4:08:bf
11:46:16.341122 IP Bessmertnyj.60878 > Vodzinsky.microsoft-ds: S 1573504615:1573504615(0) win 5840 <mss 1460,sackOK,timestamp 38982191 0,nop,wscale 2>
11:46:16.341318 IP Vodzinsky.microsoft-ds > Bessmertnyj.60878: S 2728262306:2728262306(0) ack 1573504616 win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
11:46:17.217030 arp who-has Vodzinsky tell Kalashnik_Tatyana
11:46:19.278103 IP Vodzinsky.microsoft-ds > Bessmertnyj.60878: S 2728262306:2728262306(0) ack 1573504616 win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
11:46:19.337160 IP Bessmertnyj.60878 > Vodzinsky.microsoft-ds: S 1573504615:1573504615(0) win 5840 <mss 1460,sackOK,timestamp 38982941 0,nop,wscale 2>
11:46:19.337317 IP Vodzinsky.microsoft-ds > Bessmertnyj.60878: . ack 1 win 65535 <nop,nop,timestamp 85015 38982941>
11:46:19.551922 arp who-has Vodzinsky tell Kucherenko_Vladimir
11:46:25.286961 IP Vodzinsky.microsoft-ds > Bessmertnyj.60878: S 2728262306:2728262306(0) ack 1573504616 win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
11:46:25.337562 IP Bessmertnyj.60878 > Vodzinsky.microsoft-ds: S 1573504615:1573504615(0) win 5840 <mss 1460,sackOK,timestamp 38984441 0,nop,wscale 2>
11:46:25.337727 IP Vodzinsky.microsoft-ds > Bessmertnyj.60878: . ack 1 win 65535 <nop,nop,timestamp 85075 38984441>
11:46:33.874724 IP Bessmertnyj.53929 > Vodzinsky.netbios-ssn: S 1589277012:1589277012(0) win 5840 <mss 1460,sackOK,timestamp 38986575 0,nop,wscale 2>
11:46:33.874925 IP Vodzinsky.netbios-ssn > Bessmertnyj.53929: S 2732685824:2732685824(0) ack 1589277013 win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
11:46:36.803995 IP Vodzinsky.netbios-ssn > Bessmertnyj.53929: S 2732685824:2732685824(0) ack 1589277013 win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
11:46:36.874323 IP Bessmertnyj.53929 > Vodzinsky.netbios-ssn: S 1589277012:1589277012(0) win 5840 <mss 1460,sackOK,timestamp 38987325 0,nop,wscale 2>
11:46:36.874490 IP Vodzinsky.netbios-ssn > Bessmertnyj.53929: . ack 1 win 65535 <nop,nop,timestamp 85190 38987325>
11:46:42.812753 IP Vodzinsky.netbios-ssn > Bessmertnyj.53929: S 2732685824:2732685824(0) ack 1589277013 win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
11:46:42.874717 IP Bessmertnyj.53929 > Vodzinsky.netbios-ssn: S 1589277012:1589277012(0) win 5840 <mss 1460,sackOK,timestamp 38988825 0,nop,wscale 2>
11:46:42.874917 IP Vodzinsky.netbios-ssn > Bessmertnyj.53929: . ack 1 win 65535 <nop,nop,timestamp 85250 38988825>
11:46:47.159937 arp who-has Vodzinsky tell Skripnichenko
11:46:56.034648 arp who-has Vodzinsky tell Nekrasova

22 packets captured
24 packets received by filter
0 packets dropped by kernel
[root@maestro ~]#

Спасибо.
Re: Помогите с монтированием сетевого ресурса 17.10.2007 16:14bsm Bircoph писал(а):

> домен что ли?
>

Нет. Я, работая на сервере (192.168.0.1), имею необходимость взять информацию с сетевого ресурса пользователя локальной сети (192.168.0.106). При попытке smb-монтирования ресурса //192.168.0.106/inbox получаю отказ в монтировании.
Re: Помогите с монтированием сетевого ресурса 17.10.2007 19:41Bircoph Простая рабочая группа? Тогда там нет понятия выделенных
сервера и клиента самбы -- это одноранговая сеть. Ваш сервер
в данном случае -- клиент виндовой машины, на которую вы
лезете.

тип аутентификации какой? гостевой вход на машинах разрешён?
с iptables что?
Re: Помогите с монтированием сетевого ресурса 18.10.2007 10:12bsm Bircoph писал(а):

> Простая рабочая группа? Тогда там нет понятия выделенных
> сервера и клиента самбы -- это одноранговая сеть. Ваш сервер
> в данном случае -- клиент виндовой машины, на которую вы
> лезете.
>
> тип аутентификации какой? гостевой вход на машинах разрешён?
Вход на Windows-машину без пароль, гостевая запись на Windows-машине открыта.
> с iptables что?
В firewall указано-

IPT_INPUT="$IPT -A INPUT"
IPT_OUTPUT="$IPT -A OUTPUT"
IPT_FORWARD="$IPT -A FORWARD"
IPT_PREROUTING="$IPT --table nat -A PREROUTING"
IPT_POSTROUTING="$IPT --table nat -A POSTROUTING"

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

list_ports="21,80:82,8080"
$IPT_PREROUTING --in-interface eth0 --protocol tcp \
--match multiport --dport $list_ports -j REDIRECT --to-port 3128

$IPT_INPUT --in-interface lo -j ACCEPT

for lan in 192.168.0.1 192.168.0.255; do
$IPT_INPUT --protocol UDP --in-interface eth0 --destination 192.168.0.0/24 \
--dport 135:139 -j ACCEPT
done

$IPT_INPUT --protocol UDP --destination 255.255.255.255 --dport 67:68 -j DROP
$IPT_INPUT --destination 224.0.0.0/8 -j DROP

$IPT_INPUT --protocol tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT_INPUT --protocol tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPT_INPUT --protocol tcp --tcp-flags ALL ALL -j DROP
$IPT_INPUT --protocol tcp --tcp-flags ALL NONE -j DROP
$IPT_INPUT --protocol tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT_INPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPT_INPUT --in-interface eth0 --source ! 192.168.0.1 --protocol tcp \
--sport squid --destination 192.168.0.0/16 -j DROP

$IPT_INPUT --in-interface eth0 --source ! 192.168.0.0/16 --protocol tcp \
--match multiport --sport ! pop3,https,icq --destination 192.168.0.0/16 -j DROP

$IPT_INPUT --in-interface eth1.11 --protocol tcp --dport smtp -j ACCEPT

modprobe ip_nat_ftp
modprobe ip_conntarck_ftp
$IPT_INPUT --protocol tcp --match multiport --dport 20,21 -j ACCEPT
$IPT_OUTPUT --protocol tcp --match multiport --sport 20,21 -j ACCEPT

$IPT_FORWARD --protocol tcp --syn --dport smtp \
--match connlimit --connlimit-above 1 -j REJECT
$IPT_FORWARD --in-interface $LOCAL_NET_DEV --protocol tcp --syn \
--match connlimit --connlimit-above 5 -j REJECT

tcp_ports_SAMBA="137:139,445"
udp_ports_SAMBA="$tcp_ports_POOR,8167"

tcp_ports_MAIL="25,110"

ports_PROXY="20,21,53,80,443"
tcp_ports_PROXY="$ports_PROXY,3128,5190"
udp_ports_PROXY="$ports_PROXY,4000"

tcp_ports_GOOD="$tcp_ports_SAMBA,$tcp_ports_MAIL,$tcp_ports_PROXY"
udp_ports_GOOD="$udp_ports_SAMBA,$udp_ports_PROXY"

$IPT_INPUT --protocol tcp --match multiport --dport $tcp_ports_GOOD -j ACCEPT
$IPT_INPUT --protocol udp --match multiport --dport $udp_ports_GOOD -j ACCEPT

for lan in localhost 192.168.0.1 10.10.1.4 111.222.333.444; do
$IPT_OUTPUT --source $lan -j ACCEPT
done

for chain in INPUT FORWARD OUTPUT; do
$IPT -A $chain --protocol ALL --match state --state ESTABLISHED,RELATED -j ACCEPT
done

$IPT_POSTROUTING --out-interface eth1 -j SNAT --to-source 10.10.1.4
$IPT_POSTROUTING --out-interface eth1.11 -j SNAT --to-source 111.222.333.444
Re: Помогите с монтированием сетевого ресурса 18.10.2007 11:28bsm Спасибо всем.
Проблема решена следующим образов-

# Для монтирования с сервера сетевых ресурсов клиентов локальной сети
#
$IPT_INPUT --protocol TCP --in-interface eth0 \
--source 192.168.0.0/16 --match multiport --sport 137:139,445 \
--destination 192.168.0.1 -j ACCEPT
$IPT_INPUT --protocol UDP --in-interface eth0 \
--source 192.168.0.0/16 --match multiport --sport 137:139,445,8167 \
--destination 192.168.0.1 -j ACCEPT
Re: Помогите с монтированием сетевого ресурса 18.10.2007 11:57Bircoph Лучше бы использовали ip_conntrack_netbios_ns и пропускали
все ESTABLISHED, RELATED.
Re: Помогите с монтированием сетевого ресурса 18.10.2007 12:05bsm Bircoph писал(а):

> Лучше бы использовали ip_conntrack_netbios_ns и пропускали
> все ESTABLISHED, RELATED.
>

Вместо вставленных строк iptables-правил?
Re: Помогите с монтированием сетевого ресурса 18.10.2007 14:31bsm Bircoph писал(а):

> Лучше бы использовали ip_conntrack_netbios_ns и пропускали
> все ESTABLISHED, RELATED.
>

Если ранее предложенные 2-а правила заменить обращением к предлагаемому модулю, то не возможности монтировать сетевые ресурсы клиентов локальной сети.
RSS-материал