私は現在iptablesとsambaに苦労しています。
Sambaを使用するには、tcpとudpでポート137-139と445を開く必要があることを読みました。
これは私のiptables設定の関連部分です。
...
# forward valid incoming connections from lan to lan-services chain
-A INPUT -i eth1 -s 192.168.17.0/24 -p udp -m conntrack --ctstate NEW -j LANSERV
-A INPUT -i eth1 -s 192.168.17.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LANSERV
...
# samba
-A LANSERV -p tcp -m tcp --sport 137:139 --dport 137:139 -j ACCEPT
-A LANSERV -p udp -m udp --sport 137:139 --dport 137:139 -j ACCEPT
-A LANSERV -p tcp -m tcp --sport 445 --dport 445 -j ACCEPT
-A LANSERV -p udp -m udp --sport 445 --dport 445 -j ACCEPT
いいですね。 192.168.17.* は eth1 に接続されたローカルサブネットです。このルールに問題がありますか?サンバにはより多くのポートが必要ですか?
-A INPUT -i eth1 -s 192.168.17.0/24 -j ACCEPTファイアウォールを追加するとSambaが機能する可能性があるため、確かにファイアウォールです。
編集:Windows 7コンピュータから接続しようとしています。
ベストアンサー1
「ソースポート」は、リモートコンピュータがサーバにパケットを送信するポートを指す。クライアント - サーバーパケットは、到着したのと同じリモートポートでほとんど送信されません。これは、通常のユーザーが特定の制限(Linuxでは1024未満のすべてのポート)の下のポートを開くことを防ぐほとんどのオペレーティングシステムの制限によるものです。
したがって、コンピュータに転送されるパケットの送信元ポートは、リモートホストの任意の高い番号ポートから出る可能性が高くなります。デフォルトでは、ポート番号は重要ではなく、指定されていない可能性があります。
上記のルールは、次のパケットを想定しています。離れてポート 137-139 は、キャプチャされない限りキャプチャされません。これを削除する--sport 137:139には、リモートシステムの任意の親ポートからポート137-139へのトラフィックを許可する必要があります。