Re: Messages de broadcast samba

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: Guilde Mailing list
新しいトピック: Firewall (etait: Re: Messages de broadcast samba)
題目: Re: Messages de broadcast samba
    Bonjour Marc,

marc.terrier@??? a écrit :
> Selon Olivier Allard-Jacquin <olivieraj@???>:
>
>
>>    Bonsoir,

>>
>>    j'ai un problème de pollution des logs par samba.

>
>
>>iptables -A OUTPUT -o eth0 -s 192.168.1.x -d 192.168.1.x/24 -j ACCEPT
>>iptables -A OUTPUT -o eth1 -s 10.y.y.y    -d 10.y.y.y/8     -j ACCEPT
>>iptables -A OUTPUT -o eth0 -s 192.168.1.x -d 192.168.1.255  -j ACCEPT
>>iptables -A OUTPUT -o eth1 -s 10.y.y.y    -d 10.255.255.255 -j ACCEPT

>
>
>>    Si vous avez une piste, je suis preneur !!!

>>
>>    Merci d'avance,

>
>
> Bonjour Olivier,
>
> Je pense être bien moins compétent que toi en matière d'iptables, et même en
> matière de Samba, mais ( à défaut d'arriver à configurer Samba pour éviter ce
> comportement fâcheux ) ne suffirait-il pas de rajouter des règles NetFilter
> pour "DROPper" purement et simplement les paquets broadcast provenant de
> 192.168.1.x à destination de 10.y.y.y, et inversement, sans même inscrire quoi
> que ce soit dans les logs, puisque le but est précisément d'éviter de polluer
> ces logs ?


    En terme de règle de firewall, j'utilise la technique du "tout ce qui
n'est pas dûment autorisé est interdit". Les règles ci-dessus permettent
de laisser passer les paquets "légaux", et donc tout le reste est DROPé.
C'est le cas justement pour ces paquets Samba qui sont envoyés sur la
mauvaise interface : Ils sont DROPés par la politique par défaut en
OUTPUT de netfilter : "iptables -P OUTPUT DROP"


    Pour ce qui est de la pollution des logs, elle est en fait double:
- les messages de DROP de netfilter
- les messages d'erreurs de Samba, qui n'a pas put envoyer les messages


Pour les premiers messages, cela me gène moins, car tout les logs de
netfilter sont gérés par un démon de log à part (ULOG), et stockés dans
un fichier spécial ("/var/log/ulog.syslogemu")

Par contre, ce sont les seconds messages, ceux de Samba, qui me causent
problème. Car eux remplissent mon "/var/log/messages".


> Mais... je dis probablement une grosse bêtise : si c'était aussi simple, tu
> l'aurais déjà fait, n'est-ce pas ?


    Le problème du "DROP", c'est qu'il est comprit par Samba comme étant
une interdiction (ce qui est vrai d'ailleurs), et donc qu'il va s'en
plaindre dans le "/var/log/messages". Alors qu'à l'origine, c'est lui
qui fait une boulette ! :)


    J'ai finalement trouvé une méthode conciliant sécurité (les paquets ne
sont pas émis) et propreté (le "/var/log/message" n'est pas rempli).
Mais ce n'est pas très très propre, alors si quelqu'un trouve quelque
chose de mieux, je suis preneur :


- L'idée est de renvoyer les paquets dans l'espace utilisateur, ou un
hypothétique démon basé sur ip_queue/libipq pourrait les prendre en
compte (
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-11.html )

- Je dis "hypothétique démon", car je n'ai pas développé un tel démon
sur ma machine. Et donc le paquet va aller se perdre quelque part en
mémoire.. C'est en cela que ce n'est pas une méthode très très propre... :=(

- Rappels:
 + Interface eth0, IP 192.168.1.x, masque 255.255.255.0
 + Interface eth1, IP 10.y.y.y, masque 255.0.0.0
 + Les paquets à filtrer partent de :
  - eth0, vers 192.168.1.255, avec pour IP source 10.y.y.y
               ^^^^^^^^^^^^^                      ^^^^^^^^
  - eth1, vers 10.255.255.255, avec pour IP source 192.168.1.x
               ^^^^^^^^^^^^^^                      ^^^^^^^^^^^
Les règles que j'utilise sont donc :
iptables -A OUTPUT -o eth0 -s 192.x.x.x -d 192.168.1.255  -j QUEUE
iptables -A OUTPUT -o eth1 -s 10.y.y.y  -d 10.255.255.255 -j QUEUE


    Cette solution marche, puisque les paquets sont bien interceptés (ils
ne seront pas envoyés sur le réseau) et que Samba ne verra pas que ces
paquets sont refusés :


[root@phoenix /]# iptables -L -n -v
...
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
...                  ^^^^^^^^^^^^^^^^^^^^^^^
4 312 QUEUE  all  --  *  eth0 10.193.8.50          192.168.1.255
^ ^^^
2 496 QUEUE  all  --  *  eth1 192.168.1.50         10.255.255.255
^ ^^^
...


    Merci à toutes les personnes qui m'ont répondu, tant sur la liste qu'en
privé.
                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
      /   / \  / \   \   Web:  http://olivieraj.free.fr/
     /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!