Re: Firewall Linux et Netbios

Top Page

Reply to this message
Author: Yves Martin
Date:  
To: guilde
Subject: Re: Firewall Linux et Netbios
En réponse à Stephane <reboot@???>:

> Si j'ai bin compris, ta station Windows 2000 doit passer le
> routeur/firewall pour accéder au PDC.


C'est exact.

> D'une part, si tu n'as pas de serveur WINS (Service de noms Microsoft)
> dans lequel ta station et ton PDC s'enregistrent, ils ne se trouveront
> pas car sans serveur WINS, ta station enverra des broadcast qui ne
> passeront pas le routeur.


Il y a effectivement un serveur WINS mais j'ai l'impression que le
patch pour samba ne supporte pas cette possibilité...
Dans ce cas, il doit recevoir la requête sur un port et faire le
broadcast de l'autre côté. Ce n'est pas propre mais si cela fonctionne
dans un premier temps, cela me convient.

> D'autre part il reste le probleme du NAT. Ca ne sert à rien
> d'enregistrer l'IP privée de ta station dans le WINS, car aucun serveur
> externe n'arrivera à joindre ta station de son propre chef.


Pour l'instant, je me concentre sur l'accès Win2000 -> extérieur
(PDC, shares réseaux...). Si personne ne peux accéder à mon 2000,
ce n'est pas grave.

> Une solution standard est de faire un VPN entre le subnet de ta station
> et le subnet de ton PDC.
> Si ton PDC est un 2000 Server et a une IP internet (ouille), tu peux
> utiliser IPsec sur le 2000 Server et Freeswan sur le routeur Linux,
> sinon il faut des routeurs qui font du VPN des deux côtés.


Si je comprends bien, on fait passer un tunnel IPsec à travers le routeur
pour éviter la translation d'adresses ?

> Yves, peux tu me tenir au courant de tes tests avec Samba NetBIOS
> forwarder, ca m'interesse ?
> Et si tu as besoin de qulqu'un pour faire des tests via le net
> (Freeswan/2000 server PDC/IPsec/iptables/nbfw) je suis dispo dès la fin
> de la semaine prochaine.


Merci pour la proposition,
mais j'espère que mon samba patché suffira. La configuration de cela
me semble déjà assez complexe.

A+


> Yves Martin wrote:
> > Bonjour,
> >
> >   J'ai configuré mon Linux comme routeur avec NAT et firewall.
> >   Une machine Windows (intérieur) derrière ce firewall accède à
> l'extérieur
> >   pour faire du http ou autre protocoles IP. Pas de problème.
> >   Par contre, la machine Windows 2000 utilise "Netbios sur TCP/IP"
> >   pour communiquer avec le PDC (Primary Domain Controler):
> >   - ceci est indispensable pour "joindre" la machine au domaine NT,
> >     en gros faire un login sur l'utilisateur du domaine.

> >
> > Et j'ai appris que le protocole Netbios encapsulait dans les paquets
>
> > une information qui n'était pas gérée par le NAT (surement l'IP).
> >
> > Est-ce que quelqu'un a déjà résolu ce problème ?
> >
> > J'en pensé qu'un patch du NAT Linux permettrait le support du
> > Netbios (comme il y a un add-on pour l'IRC) mais je n'ai pas
> trouvé.
> > D'où la nécessité de disposer d'un proxy sur le routeur pour
> contourner
> > le problème. J'ai trouvé ce patch pour Samba:
> >
> >     http://nbfw.sourceforge.net/installation.html

> >
> > mais il travaille avec ipchains du noyau 2.2.
> > Est-ce envisageable de l'utiliser avec le noyau 2.4 ?
> >
> > Vu l'age du patch, je me suis demandé s'il n'avait pas été intégré
> > à Samba depuis. Quelqu'un peut confirmer ? Je n'ai pas trouvé.
> >
> > A ce propos, quel avenir pour Samba avec le changement de license
> > du CIFS par Microsoft ?