Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
NetBIOS over iptables, hoe?
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Dutch
View previous topic :: View next topic  
Author Message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Fri Jan 23, 2004 8:55 am    Post subject: NetBIOS over iptables, hoe? Reply with quote

Hoi,

Ik zit al een tijdje te kl*ten met het volgende probleem. Ik gebruik op de router op school (groepsrouter om een groep uit te sluiten van het schoolnetwerk (andere ranges/ip-adressen/services e.d.). Echter, voor ons staan er redelijk belangrijke gegevens op de NT server van school welke we regelmatig nodig hebben.

Nu is dus de vraag hoe ik vanachter de router/firewall op de 124_nt_server kom, zonder gebruik te maken van IP-nummers?

Op de Windows clients zou ik dus gewoon \\124_nt_server in moeten kunnen tikken (zien hoeft niet) om op de nt server te komen.

Hoe kan ik dat het beste aanpakken?
Ik gebruik het firewall script die hier geschreven is. Het gaat om de z.g.n. veilige script.
_________________
Er gaat niets boven Gentoo :)


Last edited by Andréas on Fri Jan 23, 2004 9:15 am; edited 1 time in total
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Fri Jan 23, 2004 9:07 am    Post subject: Reply with quote

VPN verbinding naar het netwerk maken en direct de server aanspreken.
NetBIOS is veuls te onveilig om direct over het internet te draaien.
Back to top
View user's profile Send private message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Fri Jan 23, 2004 9:14 am    Post subject: Reply with quote

ja joh, gaat met moeilijke woorden gooien :wink:
kan je even toelichten hoe ik dat het beste met het firewallscript kan toepassen?
_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Fri Jan 23, 2004 9:33 am    Post subject: Reply with quote

Erm... niet zonder meer over de netwerkverbindingen te weten...

Als je niet weet wat een VPN is of hoe dat werkt, dan is het waarschijnlijk niet de eenvoudigste oplossing ;-)
Back to top
View user's profile Send private message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Fri Jan 23, 2004 10:10 am    Post subject: Reply with quote

Ok.. Meer netwerkinstellingen:

Het schoolnetwerk gebruikt de ip range: 192.168.113.x
Hierbij is het ip van de nt-server nie bekend. Enkel de hostname (124_nt_server).
Het groepsnetwerk gaat gebruik maken van de ip-range 192.168.116.x
Deze ip-adressen worden uitgedeeld door een dhcp server. De clients gebruiken Windows 2000, Windows XP en Linux.

Ik weet wel ongeveer wat VPN is maar enige uitleg over hoe ik zaken aan moet pakken zou wel handig zijn.

Is er verder nog iets wat je moet weten: vraag maar raak! :D

ps. In geval het toch NetBIOS gaat worden moet het niet zo zijn dat broadcasts van het hele ICT netwerk bij ons binnenkomen.

[edit]
Ik ben even bezig geweest met VPN zonder tussenkomst van de toekomstige router. Ik kan op het moment geen verbinding krijgen met zowel met als zonder encryptie. Is het nodig dat er een VPN server op de NT server draait? Volgens mij gaat alles via het SMB protocol namelijk.
_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Fri Jan 23, 2004 12:46 pm    Post subject: Reply with quote

Het IP adres van de server niet bekend?

Huh?

Dat kost exact 3 seconden:
Code:
ping nt_server

En 1 seconde wachten op het antwoord...

Over VPN:
Ik weet niet precies wat je bedoelt met "dat gaat allemaal over SMB.
NetBIOS is in principe SMB verkeer jah, zo heet het protocol.
Maar - zoals ik zeg - dat is ook in principe erg pnveilig om over het Internet te gebruiken.

Zoals ik lees bedoelde je dat niet - allebei de subnets zijn binnenshuis.

Dan kan je Samba daar prima voor gebruiken - het heeft meer (VEEL meer) opties dan Windows op dat gebied...

Het complete handboek is ook te vinden op het net bij www.samba.org , er staan erg veel behulpzame en vooral belangrijke voorbeelden in.

Uit mn hoofd denk ik dat je 2 mogelijkheden hebt:

1. je maakt een lokale (192.168.116) server met Samba een trust van de NT server, en laat alles via hem lopen., of

(meer een direct antwoord op je vraag)

2. je routeert samba verkeer van en naar het andere subnet.

Gegeven dat je de beveiliging lokaal goed regelt, wat is de reden om uberhaupt een *firewall* te draaien tussen de twee netwerken?

Dat lijkt me niet echt nodig, iedere host en netwerkservice heeft zelf beveiligingsmogelijkheden genoeg.

Routering over de router is volautomaties als je instellingen goed zijn.

Oh en nog es ten laatste:

Een machine bereiken "zonder IP adres te weten of te gebruiken" is theoreties nicht mogelijk.

Prakties impossible, too.

Als ik je nog erger confuse als je al was vraag dan gerust verder!
Back to top
View user's profile Send private message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Fri Jan 23, 2004 10:29 pm    Post subject: Reply with quote

Quote:
ping 124_nt_server


Werkte het maar zo makkelijk maar dat wil dus niet. Dan zegt hij ijskoud dat hij de server niet kan vinden ;)

Waarom ik een firewall gebruik?
We werken in groepen. Het netwerk op school is erg traag door de enorme hoeveelheid broadcasts die gedaan worden (bewijs o.a. geleverd door iptraf). Echter op de vraag daar iets aan te doen zeggen ze dat dat niet kan tenzij je zelf een firewall draait die dat blokkeert of dat ze het netwerk op moeten splitsen.

Daarom een firewall om voor een aantal pc's + een windows 2000 domain server (voor een bepaald vak benodigd) toch een beetje de snelheid op te krikken. Als voorbeeld om te geven. Als we willen inloggen op de Windows 2000 server (voor het bepaalde vak), duurt dat 10-20 minuten. NT_SERver benaderen, kom over kwartier maar terug... (niet dat dit verbeterd), maar om de productiviteit te vergroten kunnen we iig dat proberen + dat het een leuke opsteker is (ICT opleiding ;)).

Ik heb tegvens ssyteem beheerder al gevraagd of hij het wist maar hij wist het niet, daarom post ik hier :)
_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
Matje
l33t
l33t


Joined: 29 Oct 2002
Posts: 619
Location: Hasselt, Belgium

PostPosted: Mon Jan 26, 2004 12:27 pm    Post subject: Reply with quote

Je zou met iptables de broadcasts van buitenaf kunnen blokkeren terwijl je de broadcasts van binnenuit toelaat. Maar of dat gaat werken weet ik niet echt. Wat jullie in feite nodig hebben op jullie school is een centrale samba (of winhoos) server die alles qua netbios info afhandelt. Zo beperk je het NetBIOS verkeer enorm (bijna geen broadcasts meer) en heb je meteen ruimte voor andere dingen. Daarnaast zou ik persoonlijk jullie netwerk ook opsplitsen in subnetten als dat echt zo groot is, maar dat is natuurlijk andere koek.
_________________
Life is like a box of chocolates... Before you know it, it's empty...
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Mon Jan 26, 2004 5:31 pm    Post subject: Reply with quote

Andréas wrote:
Quote:
ping 124_nt_server

Werkte het maar zo makkelijk maar dat wil dus niet. Dan zegt hij ijskoud dat hij de server niet kan vinden ;)

Als jullie op school met netwerken moeten werken dan is dit een erg trieste gang van zaken...

Andréas wrote:
Waarom ik een firewall gebruik?
We werken in groepen. Het netwerk op school is erg traag door de enorme hoeveelheid broadcasts die gedaan worden (bewijs o.a. geleverd door iptraf).

Oplossing is het netwerk te segmenteren in voldoende subnets / broadcast domains (zijn basicly hetzelfde ding)
Verantwoordelijkheid vd netwerk/systeembeheerder.

Andréas wrote:
Echter op de vraag daar iets aan te doen zeggen ze dat dat niet kan tenzij je zelf een firewall draait die dat blokkeert of dat ze het netwerk op moeten splitsen.

Incompetentie en/of onwil en/of luiheid.
Het is absoluut niet moeilijk als je kennis van netwerkzaken hebt; het kost wel moeite - logies.

Andréas wrote:
Daarom een firewall om voor een aantal pc's + een windows 2000 domain server (voor een bepaald vak benodigd) toch een beetje de snelheid op te krikken.

Als er andere subnets/domeinen/servers benaderd moeten worden via SMB/Netbios in dit scenario dan zul je geen firewall moeten draaien (dat gaat sowieso nergens over) maar een router.

Op die router draai je dan 2 subnetwerken waarvan je selectief de netbios broadcasts kan doorsturen of weigeren; je kan zelfs van de router een SMB WINS server maken, zodat er nooit verkeer over de router gaat - het gaat er in en er weer uit, maar hij routeert niets.

Andréas wrote:
Als voorbeeld om te geven. Als we willen inloggen op de Windows 2000 server (voor het bepaalde vak), duurt dat 10-20 minuten. NT_SERver benaderen, kom over kwartier maar terug...

Zeer incompetent ontworpen en/of geimplementeerd netwerk.
Collectief klachten indienen bij het schoolbestuur.

Andréas wrote:
(niet dat dit verbeterd), maar om de productiviteit te vergroten kunnen we iig dat proberen + dat het een leuke opsteker is (ICT opleiding ;)).

Dat bedoelde ik al eerder - als het netwerk zo slecht in elkaar steekt, kunnen ze beter een betere netwerkadmin neerzetten.


Andréas wrote:
Ik heb tegvens ssyteem beheerder al gevraagd of hij het wist maar hij wist het niet, daarom post ik hier :)


Duh... natuurlijk weet hij het niet.
Iedere zichzelf respecterende sysadmin lost het naar beste kunnen op (tenzij hij erg lui is), dus je mag ervan uit gaan dat het einde van zijn kunnen al een tijdje geleden bereikt is...

Een klein tipje:

Voor Windows netwerken/domeinen, niet meer dan 20 ~ 30 systemen op 1 subnetwerk / in 1 broadcastdomain, dwz gescheiden door routers of servers.
Alle hosts in full 100 mbit switched omgeving, niet meer dan 1 switch per subnet.

Simpel gesteld:

Root domain server -> routers -> switches -> servers en hosts.

IN elk subnet wel een aanmeldingsserver, anders gaat het verkeer alsnog over de grens heen.

Aanmeldingsserver is geen bizarre machine; stomme P3 500 is voldoende als je maar zorgt dat de werkelijke user-databases ergens anders staan (dan praten we over subdomain replicatie met synchronisatie van useraccounts; erg standaard M$ materiaal).

Mijn advies is om eens flink wat te gaan lezen over M$ Active Directory theorie; binnen 3 maanden kan je hem vertellen hoe het moet. ;-)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Dutch All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum