Tâche #10550
Scénario #12246: Publier les nouvelles versions de la documentation 2.4
Documenter "Autoriser l'ouverture de flux à partir d'un port source" dans l'onglet Samba mode expert
Description
Cette fonctionnalité n'est pas documentée :
Merci d'apporter les éléments qui expliquent l'utilisation et la configuration des différentes variables du bloc : "Autoriser l'ouverture de flux à partir d'un port source"
Historique
#1 Mis à jour par Gérald Schwartzmann il y a presque 9 ans
- Description mis à jour (diff)
- Tâche parente mis à #11043
#2 Mis à jour par christophe guerinot il y a plus de 8 ans
- Restant à faire (heures) mis à 2.0
Ci-dessous un exemple d'utilisation sur nos modules ecdl et esbl :
Lors de diagnostic nous utilisons la commande 'nmblookup' pour déterminer l'adresse IP du(des) serveur(s) contrôleur(s) de domaine sur le LAN
les échanges s'effectuent en UDP via le port 137, mais ce sont les contrôleurs qui répondent à partir de leur port 137, il est donc nécessaire que le serveur eole qui exécute la commande puisse autoriser l'accès à partir d'un serveur qui émet en UDP à partir du port 137
le serveur à partir duquel la commande nmblookup est exécutée est un serveur de fichier (sbl-134)
les contrôleurs du domaine test-pnesr sont en 172.26.63.1 et 172.26.63.2
Quand le port n'est pas autorisé, la commande 'nmblookup' ne retourne pas la liste des contrôleurs
root@sbl-134:~# CreoleGet activer_regles_filtrage_port_source non root@sbl-134:~#
root@sbl-134:~# iptables -nvL|grep spt root@sbl-134:~#
root@sbl-134:~# nmblookup -B $(CreoleGet adresse_broadcast_eth0) $(CreoleGet smb_workgroup)#1C querying test-pnesr on 172.26.63.255 name_query failed to find name test-pnesr#1c root@sbl-134:~#
lors de l'exécution de la commande 'nmblookup'
root@sbl-134:~# tcpdump -n host 172.26.63.1 or host 172.26.63.2 11:04:44.056079 IP 172.26.63.1.137 > 172.26.63.134.35352: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST 11:04:44.056118 IP 172.26.63.2.137 > 172.26.63.134.35352: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
Par contre quand le port est autorisé, la commande 'nmblookup' retourne la liste des contrôleurs
root@sbl-134:~# CreoleGet activer_regles_filtrage_port_source oui root@sbl-134:~#
root@sbl-134:~# iptables -nvL|grep spt 46 3660 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:137 root@sbl-134:~#
root@sbl-134:~# nmblookup -B $(CreoleGet adresse_broadcast_eth0) $(CreoleGet smb_workgroup)#1C querying test-pnesr on 172.26.63.255 172.26.63.1 test-pnesr<1c> 172.26.63.2 test-pnesr<1c> root@sbl-134:~#
lors de l'exécution de la commande 'nmblookup'
root@sbl-134:~# root@sbl-134:~# tcpdump -n host 172.26.63.1 or host 172.26.63.2 11:00:30.008291 IP 172.26.63.1.137 > 172.26.63.134.33831: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST 11:00:30.008319 IP 172.26.63.2.137 > 172.26.63.134.33831: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
pour paramétrer l'autorisation de l'accès sur l'interface eth0 à partir d'un serveur distant qui émet en UDP à partir du port 137:
Autoriser l'ouverture de flux à partir d'un port source (activer_regles_filtrage_port_source)
oui
(non par défaut)Port source à partir duquel les flux sont autorisés (fw_rule_port variable multivaluée obligatoire)
137
(type='number')Protocole udp/tcp pour lequel les flux sont autorisés
udp
(type='string' - mais en fait cela devrait se limiter à udp ou tcp)Interface sur lequel les flux sont autorisés
eth0
(type='string')#3 Mis à jour par Gérald Schwartzmann il y a plus de 8 ans
- Tâche parente changé de #11043 à #12246
#4 Mis à jour par Gérald Schwartzmann il y a plus de 8 ans
- Statut changé de Nouveau à En cours
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 2.0 à 1.0
#5 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#6 Mis à jour par christophe guerinot il y a plus de 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 1.0 à 0.0