iptables マウントタイムアウト --policy OUTPUT DROP

tag-icon tag-icon centos mount iptables firewall cifs
iptables マウントタイムアウト --policy OUTPUT DROP

以前は、デフォルトではすべての発信トラフィックを受け入れていました。最近、デフォルトでは出力を拒否し、サーバー/アプリケーション機能に必要なポートのみを開くようにポリシーが変更されました。

今朝ドライブをマウントしようとしたときにタイムアウトが発生しました(ターゲットサーバーはすでに動作していました)。出力ポリシーを許可に設定すると、問題なくインストールできます。

ファイアウォールに次のルールを追加しました。

Chain INPUT (policy DROP 166 packets, 49616 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:137 state NEW,ESTABLISHED 
  628 48984 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:137 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:138 state NEW,ESTABLISHED 
   32  7244 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:138 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:139 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:139 state NEW,ESTABLISHED

Chain OUTPUT (policy DROP 30 packets, 1800 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:137 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:137 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:138 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:138 state NEW,ESTABLISHED 
    3   180 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:139 state NEW,ESTABLISHED

一時的に出力を許可するように設定して、ポートudp:137、udp:138でいくつかの入力トラフィックを生成しました。 tcp:139からのトラフィックが見えます。

デフォルト出力を DENY に変更すると、タイムアウトが再発生します。

次の行は次のとおりです/etc/fstab

//example.com/shares/acoder /mnt/acoder cifs 資格情報=/etc/credfile,dom=example,uid=0,gid=0,file_mode=0600,dir_mode=0700 0 0 0 0

上記の例では、 //example.com/shares/acoder は Windows サーバーです。

関連部分です/etc/services

# grep -i NETBIOS /etc/services 
netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp
netbios-dgm     138/tcp                         # NETBIOS Datagram Service
netbios-dgm     138/udp
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp

インストールするには他のどのポートを開く必要がありますかcifs

答え1

また、ポート445が必要で、着信関連/確立トラフィックも許可されていることを確認してください。

grep 445 /etc/services
microsoft-ds    445/tcp             # Microsoft Naked CIFS
microsoft-ds    445/udp

関連情報