[Fedora-users-br] PROBLEMAS IPTABLES + WINS

Gabriel Ricardo gricardo87 em gmail.com
Quinta Junho 10 11:54:30 UTC 2010 

Vamos aos resultados:

Desliguei o firewall e fiz o teste com o tcpdump:

08:37:09.648286 IP 192.168.1.100.60671 > 192.168.1.255.netbios-ns: NBT UDP
PACKET(137): QUERY; REQUEST; BROADCAST
08:37:12.661279 IP 192.168.1.100.netbios-ns > 192.168.1.140.47439: NBT UDP
PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST

Ele manda um broadcast e recebe a informação (resolve o nome) no
serviço: netbios-ns

Fui verificar qual porta funcionava esse serviço:

[root em suporte gabriel]# cat /etc/services | grep -i "netbios-ns"
netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp

Porem essas 2 portas já estão liberadas em meu firewall:

-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 137 -j ACCEPT

O SELinux não é pois esta em modo disable também.

Att,
Gabriel Ricardo
MSN: gricardo87 em gmail.com
http://tinotapa.blogspot.com
http://twitter.com/gricardo87


Em 10 de junho de 2010 00:18, Rafael Gomes
<rafaelgomes em techfree.com.br>escreveu:

> Simplesmente remover essa regra não é a solução aconselhável, pois ela
> estava bloqueando tudo aqui que não havia sido liberado pelas regras
> superiores.
>
> É necessário descobrir qual a permissão necessária para então liberar.
> Use tcpdump para descobrir...
>
> Rafael Gomes
> Consultor em TI
> LPIC-1 MCSO
> (71) 9277-8868
>
> Atenção: Este e-mail pode conter anexos no formato ODF (Open Document
> Format)/ABNT (extensões odt, ods, odp, odb, odg). Antes de pedir os
> anexos em outro formato, você pode instalar gratuita e livremente o
> BrOffice (http://www.broffice.org) ou o seguinte Plugin para Microsoft
> Office (http://www.sun.com/software/star/odf_plugin/get.jsp).
>
>
>
>
> 2010/6/9 Gabriel Ricardo <gricardo87 em gmail.com>:
> > É A REGRA
> >
> > #-A INPUT -j REJECT --reject-with icmp-host-prohibited
> >
> > QUE ESTÁ BLOQUEANDO, REMOVE A REGRA E DEU CERTO.
> >
> > Att,
> > Gabriel Ricardo
> > MSN: gricardo87 em gmail.com
> > http://tinotapa.blogspot.com
> > http://twitter.com/gricardo87
> >
> >
> > Em 9 de junho de 2010 17:44, Gabriel Ricardo <gricardo87 em gmail.com>
> > escreveu:
> >>
> >> winbind não é o nmb ?
> >> ele está ativo..
> >>
> >>
> >> Att,
> >> Gabriel Ricardo
> >> MSN: gricardo87 em gmail.com
> >> http://tinotapa.blogspot.com
> >> http://twitter.com/gricardo87
> >>
> >>
> >> Em 9 de junho de 2010 17:29, Jesué Sousa Jr <juninn.xt em gmail.com>
> >> escreveu:
> >>>
> >>> Entendi,
> >>>
> >>> voce tem o winbind instalado?
> >>>
> >>> de qualquer forma voce vai precisar liberar a porta 53 é padrão a nãos
> >>> er que voce mudou a porta padrão do bind.
> >>>
> >>> O winbind é o que interpreta  o protocolo NetBIOS.
> >>>
> >>> Se possivel de mais detalhes da configuração de sua rede.
> >>>
> >>> Só estou tentando ajudar.
> >>>
> >>> 2010/6/9 Gabriel Ricardo <gricardo87 em gmail.com>:
> >>> > foi só um exemplo, o host correio ja esta configurado corretamente.
> >>> >
> >>> > e o dns não tem a ver com a resolução de nomes wins, até pq ele
> resolve
> >>> > nomes dns.
> >>> >
> >>> >
> >>> >
> >>> > Att,
> >>> > Gabriel Ricardo
> >>> > MSN: gricardo87 em gmail.com
> >>> > http://tinotapa.blogspot.com
> >>> > http://twitter.com/gricardo87
> >>> >
> >>> >
> >>> > Em 9 de junho de 2010 15:55, Jesué Sousa Jr <juninn.xt em gmail.com>
> >>> > escreveu:
> >>> >>
> >>> >> Boa tarde,
> >>> >>
> >>> >> Libera a porta do bind é a porta 53 tanto TCP como UDP
> >>> >> e como vc vai ter correio libera as portas smtp  110  TCP e UDP e
> pop3
> >>> >> 25 TCp e UDP, isso se seu servidor de email for pop3 se for imap
> >>> >> libere as portas 143 TCP e UDP.
> >>> >>
> >>> >> tenta ai e diz o que aconteceu.
> >>> >>
> >>> >>
> >>> >>
> >>> >> 2010/6/7 Gabriel Ricardo <gricardo87 em gmail.com>:
> >>> >> > Boa tarde...
> >>> >> > Estou com problemas com meu firewall e resolução de nomes
> netbios...
> >>> >> > Fiz a alteraçao no nsswitch
> >>> >> > hosts:      files wins dns
> >>> >> >
> >>> >> > Porem ele não resolve o nome quando o firewall está operando...
> >>> >> >
> >>> >> > Exemplo:
> >>> >> >
> >>> >> > [root em suporte gabriel]# ping correio
> >>> >> > ping: unknown host correio
> >>> >> > [root em suporte gabriel]# service iptables stop
> >>> >> > iptables: Liberando regras do firewall:                    [  OK
> ]
> >>> >> > iptables: Configurando chains para a política ACCEPT: filte[  OK
> ]
> >>> >> > iptables: Descarregando módulos:                           [  OK
> ]
> >>> >> > [root em suporte gabriel]# ping correio
> >>> >> > PING correio (192.168.1.100) 56(84) bytes of data.
> >>> >> > 64 bytes from 192.168.1.100: icmp_seq=1 ttl=64 time=0.136 ms
> >>> >> >
> >>> >> > Com o firewall offline ele pinga...
> >>> >> >
> >>> >> > Segue minhas regras de firewall:
> >>> >> >
> >>> >> > [root em suporte gabriel]# iptables-save
> >>> >> > # Generated by iptables-save v1.4.7 on Mon Jun  7 13:34:34 2010
> >>> >> > *filter
> >>> >> > :INPUT ACCEPT [0:0]
> >>> >> > :FORWARD ACCEPT [0:0]
> >>> >> > :OUTPUT ACCEPT [4:242]
> >>> >> > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> >>> >> > -A INPUT -p icmp -j ACCEPT
> >>> >> > -A INPUT -i lo -j ACCEPT
> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
> >>> >> > -A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 137 -j ACCEPT
> >>> >> > -A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
> >>> >> > -A INPUT -j REJECT --reject-with icmp-host-prohibited
> >>> >> > -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> >>> >> > COMMIT
> >>> >> > # Completed on Mon Jun  7 13:34:34 2010
> >>> >> >
> >>> >> >
> >>> >> > Quem puder me ajudar, agradeço.
> >>> >> >
> >>> >> > -----------------------------------------
> >>> >> >  _       Gabriel Ricardo de L. Pereira
> >>> >> > °v°      Técnico em Redes
> >>> >> > /(_)\     MSN: gricardo87 em gmail.com
> >>> >> > ^ ^      www.tinotapa.blogspot.com
> >>> >> > -----------------------------------------
> >>> >> >
> >>> >> > --
> >>> >> > br-users mailing list
> >>> >> > br-users em lists.fedoraproject.org
> >>> >> > https://admin.fedoraproject.org/mailman/listinfo/br-users
> >>> >> >
> >>> >>
> >>> >>
> >>> >>
> >>> >> --
> >>> >> Atenciosamente.
> >>> >> _______________________________________________________________
> >>> >> Jesué Sousa Cunha Junior
> >>> >> Analista de TI.
> >>> >> junior.ssh em gmail.com
> >>> >> (21) 9635-6675
> >>> >> Microsoft Certified Professional
> >>> >> Microsoft Certified Desktop Support Technician
> >>> >> Junior Level Linux Professional - LPIC-1
> >>> >> Novell Certified Linux Administrator - CLA
> >>> >> --
> >>> >> br-users mailing list
> >>> >> br-users em lists.fedoraproject.org
> >>> >> https://admin.fedoraproject.org/mailman/listinfo/br-users
> >>> >
> >>> >
> >>> > --
> >>> > br-users mailing list
> >>> > br-users em lists.fedoraproject.org
> >>> > https://admin.fedoraproject.org/mailman/listinfo/br-users
> >>> >
> >>>
> >>>
> >>>
> >>> --
> >>> Atenciosamente.
> >>> _______________________________________________________________
> >>> Jesué Sousa Cunha Junior
> >>> Analista de TI.
> >>> junior.ssh em gmail.com
> >>> (21) 9635-6675
> >>> Microsoft Certified Professional
> >>> Microsoft Certified Desktop Support Technician
> >>> Junior Level Linux Professional - LPIC-1
> >>> Novell Certified Linux Administrator - CLA
> >>> --
> >>> br-users mailing list
> >>> br-users em lists.fedoraproject.org
> >>> https://admin.fedoraproject.org/mailman/listinfo/br-users
> >>
> >
> >
> > --
> > br-users mailing list
> > br-users em lists.fedoraproject.org
> > https://admin.fedoraproject.org/mailman/listinfo/br-users
> >
> --
> br-users mailing list
> br-users em lists.fedoraproject.org
> https://admin.fedoraproject.org/mailman/listinfo/br-users
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20100610/d6d7124b/attachment-0001.html

Mais detalhes sobre a lista de discussão br-users