• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Samba als Domain Mitglied + Firewall?

C

clude

Newbie
Hallo,

habe folgendes Problem. Samba läuft bei mir nun als Domain Mitglied in einem AktiveDirectory. Dies funktioniert auch funderbar, leider funzt das alles nicht mehr sobald ich meine Firewall einschalte. Vielleicht seht ihr ja, was ich vergessen haben durch zu schalten!

Code: 
#!/bin/sh

echo "Iptable Firewall"

IPTABLES=/sbin/iptables


EXTIF="eth0"
INTIF="eth1"

echo "   External Interface:  $EXTIF"
echo "   Internal Interface:  $INTIF"

echo "\n   Module geladen"

iptables -F

iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

#
iptables -A INPUT -p tcp --dport 1024: ! --syn -j ACCEPT

#Überwachnung von Packeten, die neue Verbindungen aufbauen wollen 
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Loopback zulassen
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#SSH Port zulassen für ein bestimmtes Netzwerk von 10.0.1.0-10.0.1.254
iptables -A INPUT -p tcp -s 10.0.1.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

#Port 80 & 3128 Freigabe
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3128 -j ACCEPT

iptables -A INPUT -p tcp --dport 88 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 88 -j ACCEPT

#Anfrage an DNS-Server zulassen
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT


#Anfragen vom DNS-Server zulassen
iptables -A INPUT -p udp -s 212.6.108.141 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 212.6.108.141 --sport 53 -j ACCEPT

iptables -A INPUT -p udp -s 10.0.1.248 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.1.248 --sport 53 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


#Ping zulassen
iptables -A INPUT  -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type echo-reply   -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply   -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT


#Fehlermeldung bei nicht Fragmentieren
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type destination-unreachable -j ACCEPT

#Fehlermeldungen zulassen
iptables -A INPUT -p icmp --icmp-type source-quench     -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded     -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

#Auffällige Zustände loggen dabei aber netbios nicht loggen
iptables -A INPUT -p udp --dport netbios-ns  -j ACCEPT
iptables -A INPUT -p udp --dport netbios-dgm -j ACCEPT
iptables -A INPUT -p tcp --dport netbios-ssn -j ACCEPT
#iptables -A INPUT  -j LOG
#iptables -A OUTPUT -j LOG


# Unser Server
iptables -A OUTPUT -p tcp --sport   22              -j ACCEPT	
iptables -A OUTPUT -p tcp --sport   80              -j ACCEPT	
iptables -A OUTPUT -p tcp --sport  113              -j ACCEPT	

iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
	

# TCP-Pakete
iptables -A OUTPUT -p tcp --sport 1024: --dport  21 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport  22 -j ACCEPT	
iptables -A OUTPUT -p tcp               --dport  25 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport  37 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport  43 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport  53 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport  79 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport  80 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport 119 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport 143 -j ACCEPT	
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 554 -j ACCEPT	


#Restlichen nicht erkannten Pakete  DROPEN
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP

iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP

iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT



echo "aktivierung des forwardings"

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Oder für Tipps wo es erklärt ist nehme ich natürlich auch liebend gerne an *G*
 
OP
C

clude

Newbie
Hallö,

also diese Ports hba ich freigeschaltet. samba im Share Modus funzt auch ganz gut. Bloß Samba als Domänen Mitglied halt net. Oder nur wenn ich die Firewall ganz aus machen und das ist keine Lösung- Deshalb muss es irgendwelche Ports noch geben, die ich freischalten müsste bloß welche...
 
Link

Link

Newbie
Dann musst du mal gucken was für Dienst/Ports das ADS noch benötigt.

Allerdings frag ich mich wieso eine Firewall auf einem Server laufen muss.
IMHO hat die da nix zu suchen. Ne Firewall soll doch 2 Netze trennen und nicht einem Rechner von eigenen Netz. :-D
 
Frankie777

Frankie777

Advanced Hacker
Die OUTPUT Filterung ist falsch.
Der Linux-Rechner kann nicht den AD Rechner ansprechen. Damit funktioniert es nicht.

Außerdem sehe ich zwei Netzwerkkarten LAN und WAN , es wäre 1000 mal sinnvoller sich um die INPUT Filterung nach Karte zu kümmern als Output Filterung zu betreiben.
Der Samba Rechner bekommt die Pakete von jeder Schnittstelle und mit jeder beliebigen Source IP zugestellt.
 
OP
C

clude

Newbie
Wie wende ich das denn an. Das ich meine Interne Netzwerkkarte nicht durch die Firewall geht ? Sondern nur die Pakete die aus dem Anderen Netz kommen.?

Dies wird doch mit -i eth0 z.b angeben für welche Netzwerkkarte die Regel gilt oder?

iptables -N extfw
iptables -N intfw

iptables -P -j intfw INPUT ACCEPT
iptables -P -j intfw FORWARD ACCEPT
iptables -P -j intfw OUTPUT ACCEPT

und dann für die externe

iptables -P -j extfw INPUT DROP
iptables -P -j extfw FORWARD DROP
iptables -P -j extfw OUTPUT DROP

Oder kann man dies net so machen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben