[gelöst] Android&Debian-WLAN-Clients + Iptables auf SambaSrv

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
TomL
Beiträge: 2807
Registriert: 24.07.2014 10:56:59

[gelöst] Android&Debian-WLAN-Clients + Iptables auf SambaSrv

Beitrag von TomL » 06.01.2017 23:08:00

Moin @ all

Vorhin habe ich ein total merkwürdiges Problem festgestellt... was ich mir überhaupt nicht erklären kann. Ich habe einen File-Server mit Samba im Netz laufen, auf dem mit Iptables auch ein Paketfilter installiert ist. Ich habe den Paketfilter lang und breit getestest, damit sich nicht nur die Kabel-PCs verbinden können, sondern auch unsere WLAN-Laptops, sowie die Androids via OpenVPN von 'draußen'. Natürlich klappen auch die WLAN-Laptops via OpenVPN von außerhalb. Auf den ersten Blick also alles gut...

.... aber nur auf den ersten.... und jetzt das verrückte: mein eigenes Android-Smartphone kann innerhalb des LANs (als WLAN-Client) die Sambashares (mit TotalCommander und LAN-Plugin) nur dann öffnen, wenn kein Paketfilter aktiv ist, von außerhalb via OpenVPN hingegen gehts problemlos mit aktiven Paketfilter. Mein Handy hat während der WLAN-Verbindung eine reguläre IP unseres LANs, kann über den Router ins Web und ich kann sogar via Terminal den Server anpingen... und der Server antwortet auch. Aber ich kann keine Samba-Shares öffnen.

Also... ich bin sicher, dass meine Iptables auf dem Server dafür verantwortlich sind. Aber die Laptops können sich ja auch verbinden. Wie unterscheidet sich der Aufbau des Connects zwischen Wlan-Android-Smartphone und Wlan-Debian-Laptop, weil mein Paketfilter das Smartphone drop't, die Laptops aber nicht.

Was wäre das richtige Vorgehen, um das Problem bzw. die Ursache erstmal überhaupt zu verstehen? Ich hätte jetzt auf TCPDump getippt, wüsste aber nicht so recht, wie ich die Ausgaben einschränke, damit das überhaupt lesbar ist.

Hat jemand eine Idee? :?
Zuletzt geändert von TomL am 07.01.2017 18:34:49, insgesamt 1-mal geändert.
vg, Thomas

mat6937
Beiträge: 563
Registriert: 09.12.2014 10:44:00

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von mat6937 » 06.01.2017 23:15:03

TomL hat geschrieben:...weil mein Paketfilter das Smartphone drop't, ...
Welche iptables-Regel(n) deines Paketfilters, drop't das Smartphone?

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von FragDenPinguin » 06.01.2017 23:16:47

Wie wäre es mit Wireshark zur Analyse?

Ansonsten würde mich auch der Paketfilter interessieren, insbesondere der Unterschied zwischen VPN-Tunnel und normaler Schnittstelle.

TomL
Beiträge: 2807
Registriert: 24.07.2014 10:56:59

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von TomL » 06.01.2017 23:28:34

mat6937 hat geschrieben:
TomL hat geschrieben:...weil mein Paketfilter das Smartphone drop't, ...
Welche iptables-Regel(n) deines Paketfilters, drop't das Smartphone?
Genau das herauszufinden habe ich mich hilfesuchend ans Forum gewandt :mrgreen: Ich gehe mal davon aus, dass es die Policy ist, die ist nämlich default=drop. Das heisst, ich suche jetzt die notwendige Accept-Regel, damit die Verbindung klappt. Vom Prinzip her ist mein Paketfilter nach der Devise aufgebaut, es ist alles verboten, was nicht ausdrücklich erlaubt ist. Das heisst, ich habe Ports und Traffic genau nach Bedarf erlaubt, alles andere wird default gedrop't. Und für die WLAN-Laptops klappt das ja auch, nur für mein S3 nicht... aber eben nur innerhalb des LANs nicht ... via freigegener TUN-UDP-Ports über OpenvVPN wiederum tadellos.

Das ist doch total verrückt. :roll: Für den Samba-Zugriff funktioniert für die anderen WLAN'er dieser Accept, aber für das S3 reicht das wohl nicht:

Code: Alles auswählen

/sbin/iptables -A INPUT -p tcp --dport 139 -m conntrack --ctstate NEW -s 10.10.0.0/24 -j ACCEPT
vg, Thomas

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von FragDenPinguin » 06.01.2017 23:35:46

Kannst du die Ausgabe von

Code: Alles auswählen

 iptables -L 
posten? Oder möchtest du du das nicht?

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von FragDenPinguin » 06.01.2017 23:45:10

Verbindet sich das S3 denn, wenn du

Code: Alles auswählen

 /sbin/iptables -A INPUT -p tcp --dport 139 -m conntrack --ctstate NEW -s 10.10.0.0/24 -j ACCEPT
durch die durchlässigere Regel

Code: Alles auswählen

 /sbin/iptables -A INPUT -p tcp --dport 139 -s 10.10.0.0/24 -j ACCEPT
ersetzt? Gibt es auch eine ähnliche Output-Regel?

mat6937
Beiträge: 563
Registriert: 09.12.2014 10:44:00

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von mat6937 » 06.01.2017 23:45:52

TomL hat geschrieben:[ Und für die WLAN-Laptops klappt das ja auch, ...

Code: Alles auswählen

/sbin/iptables -A INPUT -p tcp --dport 139 -m conntrack --ctstate NEW -s 10.10.0.0/24 -j ACCEPT
Du hast aber auch noch eine iptables-Regel für RELATED- und ESTABLISHED-Verbindungen, oder?

Nutzt Du mit deinen WLAN-Laptops evtl. auch IPv6?

Wie ist auf einem deiner WLAN-Laptops die Ausgabe von:

Code: Alles auswählen

netstat -tulpen
?

TomL
Beiträge: 2807
Registriert: 24.07.2014 10:56:59

Re: Android + Debian-WLAN-Clients und Iptables auf SambaSrv

Beitrag von TomL » 07.01.2017 18:34:04

MoinMoin

Vielen Dank für Eure Mitwirkung, die mich beim Suchen in die richtige Richtung gebracht hat. Aus

Code: Alles auswählen

/sbin/iptables -A INPUT -p tcp --dport 139 -m conntrack --ctstate NEW -s 10.10.0.0/16 -j ACCEPT
ist jetzt

Code: Alles auswählen

/sbin/iptables -A INPUT -p tcp --dport 139 -m conntrack --ctstate NEW -s 10.10.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 139 -m conntrack --ctstate NEW -s 10.10.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 445 -m conntrack --ctstate NEW -s 10.10.0.0/16 -j ACCEPT
geworden. Damit klappt es nun wieder. Anscheinend ist die Android-Implentierung anders gelöst, als bei den Debian-Laptops.... aber jetzt geht es wieder :-)

Und um noch eben die Fragen zu beantworten, ja, es gibt Regeln für Established- und Related-Traffic. Und es gibt quasi ein analoges Regelwerk für IPv6. Das habe ich jetzt gleichermaßen angepasst.
vg, Thomas

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste