Re: Samba y puerto DMZ
El Wed, 17 Dec 2003 13:08:31 +0100 "Gorka Garay" <[EMAIL PROTECTED]> escribió: > > > Todo depende de como se estén filtrando los paquetes. Las máquinas > > que se quieran conectar a tu Debian, ¿también están en la DMZ? > > Si no están en la zona libre, ¿se están filtrando los puertos del > > SMB/NetBios? > > Las máquinas que tienen que acceder NO estan en la DMZ ninguna. Aun > asi pueden "ver" a la debian por ssh, ping, etc incluido el puerto > de swat(901). Por eso no creo que desde el firewall este capado > ningun puerto para la red de la oficina (si lo estan para "fuera"). Hablar de una DMZ sirve siempre y cuando estés dentro de ésta, si quieres hacer algo que está por fuera de la DMZ con algo que está adentro, hablar de una DMZ es poco útil. Dado que cada quien pone sus propias reglas para proteger a una DMZ, por lo que veo, tu conexión con la máquina que tiene Debian tiene una especia de NAT (las conexiones nuevas o establecidas desde las otras máquinas hacia la máquina de Debian pasan sin problemas, pero las conexiones nuevas desde Debian hacia las otras máquinas no). Que puedas acceder o no al puerto 901 no implica nada, ¿que tal los puertos típicos del SMB? (recuerdo al puerto 139 y algún otro que ahora no estoy muy seguro de cual era). Aunque si puedes acceder a los recursos compartidos de la máquina con Debian, no tendrías que tener ningún problema en compartir una impresora que esté en la máquina con Debian. > > Desde la debian no se "ve" ni siquiera haciendo ping al resto de las > maquinas (por estar en la DMZ debe ser asi), por lo que no se si > esto hace que no funcione bien samba. Que no haya ping no significa nada. Yo, en las redes que tuve que armar, trato de restringir todo lo que no sea necesario (ICMP entre otras cosas). Prueba con un escaneo de puertos con XMas (en el nmap es la opción "sX" -creo-). Yo tuve muy malas experiencias al intentar utilizar Samba para compartir impresoras (en una misma hora, había veces que unas máquinas con Windows 98 veían perfectamente bien e imprimían bien, pero otras nada de nada). Por eso opté por compartir la impresora con Cups, y pedir que terminen de migrar las máquinas con Windows 98 a Windows NT (era Windows 2000, XP y algunos NT4). En las máquinas con Windows NT, se podía agregar una impresora compartida de esta forma (las llamaba "impresoras de edificio" o algo así de ridículo), pero con Windows tenía que ponerme un driver que no conseguí gratis (el único que proveía este driver era un sistema de impresión de HP, pero no se instalaba del todo bien). -- Atentamente, yo "Padre Grassi": enviador de spam y violador de menores http://www.nnss.d7.be http://savannah.gnu.org/projects/tasklist
Re: Samba y puerto DMZ
> Todo depende de como se estén filtrando los paquetes. Las máquinas > que se quieran conectar a tu Debian, ¿también están en la DMZ? > Si no están en la zona libre, ¿se están filtrando los puertos del > SMB/NetBios? Las máquinas que tienen que acceder NO estan en la DMZ ninguna. Aun asi pueden "ver" a la debian por ssh, ping, etc incluido el puerto de swat (901). Por eso no creo que desde el firewall este capado ningun puerto para la red de la oficina (si lo estan para "fuera"). Desde la debian no se "ve" ni siquiera haciendo ping al resto de las maquinas (por estar en la DMZ debe ser asi), por lo que no se si esto hace que no funcione bien samba. Gracias por vuestras respuestas, un saludo
Re: Samba y puerto DMZ
El Wed, 17 Dec 2003 11:47:25 +0100 Faro <[EMAIL PROTECTED]> escribió: > El mié, 17-12-2003 a las 10:52, Gorka Garay escribió: > > > Sabeis si es posible utilizar samba para compartir impresoras si > > la maquina debian esta en el puerto DMZ de un firewall? Seria > > acceder desde las maquinas hachefrost que estan debajo de los > > puertos lan y wan del firewall, que estan en la misma red que la > > maquina debian. > > No te entiendo bien. Una DMZ suele ser un rango de IPs, o una > subnet, no un puerto. En principio no creo que deba haber ningún > problema en permitir acceso desde dentro a una máquina de la dmz. Benditas ambigüedades idiomáticas. El puerto, es un puerto de TCP/UDP/Protocolo de red que sea (como la mayoría de nosotros entenderíamos), y también se suele llamar puerto a esa ficha hembra que tienen los firewals (o por lo menos yo me topé con muchos "profesores" que llaman puerto a eso). > > Es solo para saber si merece la pena investigar el modo de > > hacerlo. Si directamente no se puede no miro mas =D Todo depende de como se estén filtrando los paquetes. Las máquinas que se quieran conectar a tu Debian, ¿también están en la DMZ? Si no están en la zona libre, ¿se están filtrando los puertos del SMB/NetBios? -- Atentamente, yo "Padre Grassi": enviador de spam y violador de menores http://www.nnss.d7.be http://savannah.gnu.org/projects/tasklist
Re: Samba y puerto DMZ
Hola, No se exactamente lo que tengo... es un firewall aparte, no dentro de la maquina con debian... Lo que si podemos es acceder a la maquina con debian en el dmz con ssh, ftp, navegador, etc desde la red de la oficina. Lo que no se puede hacer es acceder desde la maquina debian a la red de la oficina (porque esta en el dmz, que es lo que se supone que debe hacer). La cosa es saber si en estas condiciones, de que un ordenador de la red puede "ver" (accediendo por ssh, haciendo ping a la ip, etc) a la maquina debian pero no a la contra (la maquina debian NO puede ni hacer ping al resto de la red) se puede utilizar samba para compartir impresoras conectadas a la maquina con debian. Un saludo y gracias. - Original Message - From: "Faro" <[EMAIL PROTECTED]> To: "Debian (E-mail)" Sent: Wednesday, December 17, 2003 11:47 AM Subject: Re: Samba y puerto DMZ El mié, 17-12-2003 a las 10:52, Gorka Garay escribió: > Sabeis si es posible utilizar samba para compartir impresoras si la maquina > debian esta en el puerto DMZ de un firewall? Seria acceder desde las > maquinas hachefrost que estan debajo de los puertos lan y wan del firewall, > que estan en la misma red que la maquina debian. No te entiendo bien. Una DMZ suele ser un rango de IPs, o una subnet, no un puerto. En principio no creo que deba haber ningún problema en permitir acceso desde dentro a una máquina de la dmz. Eso de DMZ, lan, wan, suena a que estás usando algún frontend para iptables, o tal vez algún script preconfigurado. Si cuentas cuál es quizá alguien pueda ayudarte de manera más concreta. > Es solo para saber si merece la pena investigar el modo de hacerlo. Si > directamente no se puede no miro mas =D Sigue probando ;-) -- Mail : faro at escomposlinux . org Jabber: sneb at jabber . org Debian GNU/Linux - Usuario Linux #162541 http://www.escomposlinux.org/faro
Re: Samba y puerto DMZ
El mié, 17-12-2003 a las 10:52, Gorka Garay escribió: > Sabeis si es posible utilizar samba para compartir impresoras si la maquina > debian esta en el puerto DMZ de un firewall? Seria acceder desde las > maquinas hachefrost que estan debajo de los puertos lan y wan del firewall, > que estan en la misma red que la maquina debian. No te entiendo bien. Una DMZ suele ser un rango de IPs, o una subnet, no un puerto. En principio no creo que deba haber ningún problema en permitir acceso desde dentro a una máquina de la dmz. Eso de DMZ, lan, wan, suena a que estás usando algún frontend para iptables, o tal vez algún script preconfigurado. Si cuentas cuál es quizá alguien pueda ayudarte de manera más concreta. > Es solo para saber si merece la pena investigar el modo de hacerlo. Si > directamente no se puede no miro mas =D Sigue probando ;-) -- Mail : faro at escomposlinux . org Jabber: sneb at jabber . org Debian GNU/Linux - Usuario Linux #162541 http://www.escomposlinux.org/faro signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Samba y puerto DMZ
Hola, Sabeis si es posible utilizar samba para compartir impresoras si la maquina debian esta en el puerto DMZ de un firewall? Seria acceder desde las maquinas hachefrost que estan debajo de los puertos lan y wan del firewall, que estan en la misma red que la maquina debian. Es solo para saber si merece la pena investigar el modo de hacerlo. Si directamente no se puede no miro mas =D Gracias
