iptables - blokování SMB provozu

[vorner]

David Hartman wrote:

> Dobrý den,
> mám router s vnitřní síťovou kartou wlan1 (hostap, funguje jako AP) a
> venkovní wlan0 (připojení k Internetu, NAT). Chci zabránit ve vnitřní
> síti sdílení souborů a tiskáren. Na routeru SAMBA nejede.
> 
> Vytvořil jsem následující pravidla:
> -A INPUT -i wlan1 -p tcp --dport 137:139 -j DROP
> -A INPUT -i wlan1 -p udp --dport 137:139 -j DROP
> -A INPUT -i wlan1 -p tcp --dport 445 -j DROP
> -A INPUT -i wlan1 -p udp --dport 445 -j DROP
> 
> Bohužel bez jakéhokoli efektu - sdílení funguje dál. Tyto 4 řádky jsou
> uvedeny úplně jako první. Zkoušel jsem ta samá pravidla dát i do řetězce
> FORWARD, ale také bez úspěchu... :o(
> 
> Můžete mi někdo poradit? Jak mají pravidla vypadat?
> 
> Děkuji, D.Hartman
> 

Já bych zkusil zcela vynechat interface (ve vnitřní síti to chceto zakázat a
do internetu by to nemělo lítat už tuplem).

Mimo to, jdou ta data opravdu _skrz_ ten router?

Možná by to šlo zkusit strčit i do prerouting, protože netuším, co se s tím
děje, pokud se na to špatně poďívá ten NAT..

Tohle jsou ale jen nápady, moc zkušeností s firewally nemám.

-- 
Windows are like... 
Windows. dirty and fragile.