[Fedora-users-br] PROBLEMAS IPTABLES + WINS

Gabriel Ricardo gricardo87 em gmail.com
Quinta Junho 10 12:35:18 UTC 2010


Fiz um post no meu blog, segue:

http://tinotapa.blogspot.com/2010/06/resolvendo-nomes-netbios-no-linux.html

Valeu pela ajuda

Att,
Gabriel Ricardo
MSN: gricardo87 em gmail.com
http://tinotapa.blogspot.com
http://twitter.com/gricardo87


Em 10 de junho de 2010 09:09, Gabriel Ricardo <gricardo87 em gmail.com>escreveu:

> Descoberto, /etc/sysconfig/iptables-config
>
>
> Att,
> Gabriel Ricardo
> MSN: gricardo87 em gmail.com
> http://tinotapa.blogspot.com
> http://twitter.com/gricardo87
>
>
> Em 10 de junho de 2010 09:07, Gabriel Ricardo <gricardo87 em gmail.com>escreveu:
>
> Acho que descobri...
>> É um modulo do iptables,
>> iptables: Carregando módulos adicionais: nf_conntrack_netbi[  OK  ]
>>
>> Utilizei o assistente GUI para fazer isso...
>>
>> Porem não sei onde fazer essa configuração  "na unha" no fedora...
>>
>>
>> Att,
>> Gabriel Ricardo
>> MSN: gricardo87 em gmail.com
>> http://tinotapa.blogspot.com
>> http://twitter.com/gricardo87
>>
>>
>> Em 10 de junho de 2010 08:54, Gabriel Ricardo <gricardo87 em gmail.com>escreveu:
>>
>> Vamos aos resultados:
>>>
>>> Desliguei o firewall e fiz o teste com o tcpdump:
>>>
>>> 08:37:09.648286 IP 192.168.1.100.60671 > 192.168.1.255.netbios-ns: NBT
>>> UDP PACKET(137): QUERY; REQUEST; BROADCAST
>>> 08:37:12.661279 IP 192.168.1.100.netbios-ns > 192.168.1.140.47439: NBT
>>> UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
>>>
>>> Ele manda um broadcast e recebe a informação (resolve o nome) no
>>> serviço: netbios-ns
>>>
>>> Fui verificar qual porta funcionava esse serviço:
>>>
>>> [root em suporte gabriel]# cat /etc/services | grep -i "netbios-ns"
>>> netbios-ns      137/tcp                         # NETBIOS Name Service
>>> netbios-ns      137/udp
>>>
>>> Porem essas 2 portas já estão liberadas em meu firewall:
>>>
>>> -A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
>>> -A INPUT -m state --state NEW -m tcp -p tcp --dport 137 -j ACCEPT
>>>
>>> O SELinux não é pois esta em modo disable também.
>>>
>>> Att,
>>> Gabriel Ricardo
>>> MSN: gricardo87 em gmail.com
>>> http://tinotapa.blogspot.com
>>> http://twitter.com/gricardo87
>>>
>>>
>>> Em 10 de junho de 2010 00:18, Rafael Gomes <rafaelgomes em techfree.com.br>escreveu:
>>>
>>> Simplesmente remover essa regra não é a solução aconselhável, pois ela
>>>> estava bloqueando tudo aqui que não havia sido liberado pelas regras
>>>> superiores.
>>>>
>>>> É necessário descobrir qual a permissão necessária para então liberar.
>>>> Use tcpdump para descobrir...
>>>>
>>>> Rafael Gomes
>>>> Consultor em TI
>>>> LPIC-1 MCSO
>>>> (71) 9277-8868
>>>>
>>>> Atenção: Este e-mail pode conter anexos no formato ODF (Open Document
>>>> Format)/ABNT (extensões odt, ods, odp, odb, odg). Antes de pedir os
>>>> anexos em outro formato, você pode instalar gratuita e livremente o
>>>> BrOffice (http://www.broffice.org) ou o seguinte Plugin para Microsoft
>>>> Office (http://www.sun.com/software/star/odf_plugin/get.jsp).
>>>>
>>>>
>>>>
>>>>
>>>> 2010/6/9 Gabriel Ricardo <gricardo87 em gmail.com>:
>>>> > É A REGRA
>>>> >
>>>> > #-A INPUT -j REJECT --reject-with icmp-host-prohibited
>>>> >
>>>> > QUE ESTÁ BLOQUEANDO, REMOVE A REGRA E DEU CERTO.
>>>> >
>>>> > Att,
>>>> > Gabriel Ricardo
>>>> > MSN: gricardo87 em gmail.com
>>>> > http://tinotapa.blogspot.com
>>>> > http://twitter.com/gricardo87
>>>> >
>>>> >
>>>> > Em 9 de junho de 2010 17:44, Gabriel Ricardo <gricardo87 em gmail.com>
>>>> > escreveu:
>>>> >>
>>>> >> winbind não é o nmb ?
>>>> >> ele está ativo..
>>>> >>
>>>> >>
>>>> >> Att,
>>>> >> Gabriel Ricardo
>>>> >> MSN: gricardo87 em gmail.com
>>>> >> http://tinotapa.blogspot.com
>>>> >> http://twitter.com/gricardo87
>>>> >>
>>>> >>
>>>> >> Em 9 de junho de 2010 17:29, Jesué Sousa Jr <juninn.xt em gmail.com>
>>>> >> escreveu:
>>>> >>>
>>>> >>> Entendi,
>>>> >>>
>>>> >>> voce tem o winbind instalado?
>>>> >>>
>>>> >>> de qualquer forma voce vai precisar liberar a porta 53 é padrão a
>>>> nãos
>>>> >>> er que voce mudou a porta padrão do bind.
>>>> >>>
>>>> >>> O winbind é o que interpreta  o protocolo NetBIOS.
>>>> >>>
>>>> >>> Se possivel de mais detalhes da configuração de sua rede.
>>>> >>>
>>>> >>> Só estou tentando ajudar.
>>>> >>>
>>>> >>> 2010/6/9 Gabriel Ricardo <gricardo87 em gmail.com>:
>>>> >>> > foi só um exemplo, o host correio ja esta configurado
>>>> corretamente.
>>>> >>> >
>>>> >>> > e o dns não tem a ver com a resolução de nomes wins, até pq ele
>>>> resolve
>>>> >>> > nomes dns.
>>>> >>> >
>>>> >>> >
>>>> >>> >
>>>> >>> > Att,
>>>> >>> > Gabriel Ricardo
>>>> >>> > MSN: gricardo87 em gmail.com
>>>> >>> > http://tinotapa.blogspot.com
>>>> >>> > http://twitter.com/gricardo87
>>>> >>> >
>>>> >>> >
>>>> >>> > Em 9 de junho de 2010 15:55, Jesué Sousa Jr <juninn.xt em gmail.com>
>>>> >>> > escreveu:
>>>> >>> >>
>>>> >>> >> Boa tarde,
>>>> >>> >>
>>>> >>> >> Libera a porta do bind é a porta 53 tanto TCP como UDP
>>>> >>> >> e como vc vai ter correio libera as portas smtp  110  TCP e UDP e
>>>> pop3
>>>> >>> >> 25 TCp e UDP, isso se seu servidor de email for pop3 se for imap
>>>> >>> >> libere as portas 143 TCP e UDP.
>>>> >>> >>
>>>> >>> >> tenta ai e diz o que aconteceu.
>>>> >>> >>
>>>> >>> >>
>>>> >>> >>
>>>> >>> >> 2010/6/7 Gabriel Ricardo <gricardo87 em gmail.com>:
>>>> >>> >> > Boa tarde...
>>>> >>> >> > Estou com problemas com meu firewall e resolução de nomes
>>>> netbios...
>>>> >>> >> > Fiz a alteraçao no nsswitch
>>>> >>> >> > hosts:      files wins dns
>>>> >>> >> >
>>>> >>> >> > Porem ele não resolve o nome quando o firewall está operando...
>>>> >>> >> >
>>>> >>> >> > Exemplo:
>>>> >>> >> >
>>>> >>> >> > [root em suporte gabriel]# ping correio
>>>> >>> >> > ping: unknown host correio
>>>> >>> >> > [root em suporte gabriel]# service iptables stop
>>>> >>> >> > iptables: Liberando regras do firewall:                    [
>>>> OK  ]
>>>> >>> >> > iptables: Configurando chains para a política ACCEPT: filte[
>>>> OK  ]
>>>> >>> >> > iptables: Descarregando módulos:                           [
>>>> OK  ]
>>>> >>> >> > [root em suporte gabriel]# ping correio
>>>> >>> >> > PING correio (192.168.1.100) 56(84) bytes of data.
>>>> >>> >> > 64 bytes from 192.168.1.100: icmp_seq=1 ttl=64 time=0.136 ms
>>>> >>> >> >
>>>> >>> >> > Com o firewall offline ele pinga...
>>>> >>> >> >
>>>> >>> >> > Segue minhas regras de firewall:
>>>> >>> >> >
>>>> >>> >> > [root em suporte gabriel]# iptables-save
>>>> >>> >> > # Generated by iptables-save v1.4.7 on Mon Jun  7 13:34:34 2010
>>>> >>> >> > *filter
>>>> >>> >> > :INPUT ACCEPT [0:0]
>>>> >>> >> > :FORWARD ACCEPT [0:0]
>>>> >>> >> > :OUTPUT ACCEPT [4:242]
>>>> >>> >> > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>>>> >>> >> > -A INPUT -p icmp -j ACCEPT
>>>> >>> >> > -A INPUT -i lo -j ACCEPT
>>>> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -p udp -m state --state NEW -m udp --dport 137 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -p tcp -m state --state NEW -m tcp --dport 137 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -p udp -m state --state NEW -m udp --dport 138 -j
>>>> ACCEPT
>>>> >>> >> > -A INPUT -j REJECT --reject-with icmp-host-prohibited
>>>> >>> >> > -A FORWARD -j REJECT --reject-with icmp-host-prohibited
>>>> >>> >> > COMMIT
>>>> >>> >> > # Completed on Mon Jun  7 13:34:34 2010
>>>> >>> >> >
>>>> >>> >> >
>>>> >>> >> > Quem puder me ajudar, agradeço.
>>>> >>> >> >
>>>> >>> >> > -----------------------------------------
>>>> >>> >> >  _       Gabriel Ricardo de L. Pereira
>>>> >>> >> > °v°      Técnico em Redes
>>>> >>> >> > /(_)\     MSN: gricardo87 em gmail.com
>>>> >>> >> > ^ ^      www.tinotapa.blogspot.com
>>>> >>> >> > -----------------------------------------
>>>> >>> >> >
>>>> >>> >> > --
>>>> >>> >> > br-users mailing list
>>>> >>> >> > br-users em lists.fedoraproject.org
>>>> >>> >> > https://admin.fedoraproject.org/mailman/listinfo/br-users
>>>> >>> >> >
>>>> >>> >>
>>>> >>> >>
>>>> >>> >>
>>>> >>> >> --
>>>> >>> >> Atenciosamente.
>>>> >>> >> _______________________________________________________________
>>>> >>> >> Jesué Sousa Cunha Junior
>>>> >>> >> Analista de TI.
>>>> >>> >> junior.ssh em gmail.com
>>>> >>> >> (21) 9635-6675
>>>> >>> >> Microsoft Certified Professional
>>>> >>> >> Microsoft Certified Desktop Support Technician
>>>> >>> >> Junior Level Linux Professional - LPIC-1
>>>> >>> >> Novell Certified Linux Administrator - CLA
>>>> >>> >> --
>>>> >>> >> br-users mailing list
>>>> >>> >> br-users em lists.fedoraproject.org
>>>> >>> >> https://admin.fedoraproject.org/mailman/listinfo/br-users
>>>> >>> >
>>>> >>> >
>>>> >>> > --
>>>> >>> > br-users mailing list
>>>> >>> > br-users em lists.fedoraproject.org
>>>> >>> > https://admin.fedoraproject.org/mailman/listinfo/br-users
>>>> >>> >
>>>> >>>
>>>> >>>
>>>> >>>
>>>> >>> --
>>>> >>> Atenciosamente.
>>>> >>> _______________________________________________________________
>>>> >>> Jesué Sousa Cunha Junior
>>>> >>> Analista de TI.
>>>> >>> junior.ssh em gmail.com
>>>> >>> (21) 9635-6675
>>>> >>> Microsoft Certified Professional
>>>> >>> Microsoft Certified Desktop Support Technician
>>>> >>> Junior Level Linux Professional - LPIC-1
>>>> >>> Novell Certified Linux Administrator - CLA
>>>> >>> --
>>>> >>> br-users mailing list
>>>> >>> br-users em lists.fedoraproject.org
>>>> >>> https://admin.fedoraproject.org/mailman/listinfo/br-users
>>>> >>
>>>> >
>>>> >
>>>> > --
>>>> > br-users mailing list
>>>> > br-users em lists.fedoraproject.org
>>>> > https://admin.fedoraproject.org/mailman/listinfo/br-users
>>>> >
>>>> --
>>>> br-users mailing list
>>>> br-users em lists.fedoraproject.org
>>>> https://admin.fedoraproject.org/mailman/listinfo/br-users
>>>>
>>>
>>>
>>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20100610/e84988e0/attachment.html 


Mais detalhes sobre a lista de discussão br-users