Univention Bugzilla – Bug 25243
univention-firewall für Antworten auf Netbios-Broadcasts freischalten
Last modified: 2012-03-04 14:34:13 CET
Für die korrekte Funktion von netbios Broadcasts, insbesondere für die Einrichtung von Vertrauensstellungen (Samba vertraut Windows) muss die Univention Firewall für Antworten auf Netbios-Broadcasts freigeschaltet werden. Aktuell kann das nur über eine packetfilter subfile automatisert werden: echo "iptables -I INPUT 1 -p udp --sport 137 -j ACCEPT" \ >> /etc/security/packetfilter.d/50_local.sh /etc/init.d/univention-firewall restart Es wäre einfacher wenn univention-samba selbst ein angepasstes Subfile mitbringt. Ggf. ist das auch für univention-samba4 sinnvoll.
Das Paket univention-samba bringt jetzt einen UCR-Template-Subfile mit, in dem die source-port Regel statisch definiert wird. Das Schema der UCR-Variablen in univention-firewall bietet hier leider keine ausreichenden Erweiterungsmöglichkeiten. Changelog ist angepasst.
scheint zu klappen vorher findet er nur sich selbst bei eine nmblookup Anfrage root@10.200.7.70-> nmblookup --broadcast=10.200.7.255 'master' querying master on 10.200.7.255 10.200.7.70 master<00> Nach dem Update dann auch andere Rechner (mit diesem Namen) root@10.200.7.70-> nmblookup 'master' querying master on 10.200.7.255 10.200.7.100 master<00> 10.200.7.10 master<00> 10.200.7.10 master<00> 10.200.7.100 master<00> 10.200.7.100 master<00> 10.200.7.100 master<00> -> iptables -L| grep netbios ACCEPT udp -- anywhere anywhere udp spt:netbios-ns ACCEPT tcp -- anywhere anywhere tcp dpts:netbios-ns:netbios-ssn ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ACCEPT udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn ABER, er findet sich selbst nicht mehr. Ich bin nicht sicher, ob das etwas mit diesem Bug zu tun oder ob es überhaupt ein Problem ist, daher noch diese "Nachfrage".
Kann ich nicht nachvollziehen: root@master:~# nmblookup 'master' querying master on 10.200.8.255 name_query failed to find name master root@master:~# echo "iptables -I INPUT 1 -p udp --sport 137 -j ACCEPT" \ > >> /etc/security/packetfilter.d/50_local.sh root@master:~# /etc/init.d/univention-firewall restart Stopping Univention iptables configuration::. Starting Univention iptables configuration::. root@master:~# nmblookup 'master' querying master on 10.200.8.255 10.200.8.150 master<00> 10.200.8.150 master<00> 10.200.8.150 master<00> 10.200.8.150 master<00>
(In reply to comment #3) > Kann ich nicht nachvollziehen: > > root@master:~# nmblookup 'master' > querying master on 10.200.8.255 > name_query failed to find name master > root@master:~# echo "iptables -I INPUT 1 -p udp --sport 137 -j ACCEPT" \ > > >> /etc/security/packetfilter.d/50_local.sh > root@master:~# /etc/init.d/univention-firewall restart > Stopping Univention iptables configuration::. > Starting Univention iptables configuration::. > root@master:~# nmblookup 'master' > querying master on 10.200.8.255 > 10.200.8.150 master<00> > 10.200.8.150 master<00> > 10.200.8.150 master<00> > 10.200.8.150 master<00> ja funktioniert, war wohl nur ein Problem mit dem mehrfach vergebenen Namen .
Note: Es kann sein, dass das in Comment 2 beobachtete Verhalten auf einen Bug im nmbd zurückgeht, der aber nur beim Betrieb von winbind auf DCs eine Rolle spielt: http://gitweb.samba.org/samba.git/?p=samba.git;a=commitdiff;h=357631b8b9da95c5cd43e05e8ad9d7ef43fb67da
UCS 3.0-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"