UniFi USG - CIFS Freigabe
Guten Abend
Ich hätte nochmals eine Frage zur USG von UniFi
Ich versuche die SMB/CIFS Verbindung freizugeben. Ich habe den ganzen Verkehr von einer DMZ Blockiert und nur z.B. die DNS Verbindung erlaubt. Dies klappt auch.
Für CIFS/SMB habe ich schon alle üblichen Ports wie 137-139,445 UDP/TCP versucht. Die Verbindung kann so aber nicht aufgebaut werden. Entferne ich die Block regel geht es.
Gibt es für CIFS/SMB noch andere Ports die ich vergessen habe? Bem. diversen Seiten sind es eigentlich nur die 4 (Verbindung von Linux auf einen Windows Server).
Gruss
Koda
Ich hätte nochmals eine Frage zur USG von UniFi
Ich versuche die SMB/CIFS Verbindung freizugeben. Ich habe den ganzen Verkehr von einer DMZ Blockiert und nur z.B. die DNS Verbindung erlaubt. Dies klappt auch.
Für CIFS/SMB habe ich schon alle üblichen Ports wie 137-139,445 UDP/TCP versucht. Die Verbindung kann so aber nicht aufgebaut werden. Entferne ich die Block regel geht es.
Gibt es für CIFS/SMB noch andere Ports die ich vergessen habe? Bem. diversen Seiten sind es eigentlich nur die 4 (Verbindung von Linux auf einen Windows Server).
Gruss
Koda
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 529911
Url: https://administrator.de/forum/unifi-usg-cifs-freigabe-529911.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
5 Kommentare
Neuester Kommentar
Die Verbindung kann so aber nicht aufgebaut werden. Entferne ich die Block regel geht es.
Der Satz ist logisch irgendwie wirr und führt zur Unverständlichkeit.Wenn du eine Block Regel eingerichtet hast willst du ja explizit 137-139,445 UDP/TCP blocken, sprich also CIFS/SMB verbieten. SMB geht dann also nicht durch, klar.
Wenn du diese Regel dann entfernst ist es doch evident das SMB dann klappt. In sofern widerspricht sich dein Satz diametral und es ist damit dann völlig unklar was du eigentlich willst ?!
Gibt es für CIFS/SMB noch andere Ports die ich vergessen habe?
Nein ! Siehe dazu https://de.wikipedia.org/wiki/Server_Message_BlockMöglicherweise hast du hier die Destination Ports mit den Source Ports verwechselt ?! In einer pfSense Firewall funktioniert dieses Regelwerk fehlerlos !
Bei UniFi ist standardmässig immer alles erlaubt.
Uuuhh wie gruselig ! Und sowas nennt sich dann "Firewall" ?!! Ein weiterer Grund von so einem Mist die Finger zu lassen. Das kommt dabei raus wenn WLAN Billigbastler wie Ubuquity sich an Firewalls versuchen...oder diese Produkte von Extern zukaufen was bei denen ja der leider der Fall ist da sie nix eigenes haben.und schiebst diese VOR die Block Regel.
"First match wins" Konzept wie es generell üblich ist... Trotzdem funktioniert CIFS/SMB auf der Debian Kiste nicht.
Dann hast du am Regelwerk vermutlich etwas falsch gemacht....?! Einen Bug an einer so zentralen Funktion wollen wir dieser Grusel FW mal nicht unterstellen in der Hoffnung das du die aktuellste Firmware geflasht hast ?!Nur mal ein Beispiel so einer Logik... Bedenke dabei das Filterregeln meist immer nur Inbound greifen also vom Netzwerk Draht in den Firewall Port hinein.
Beispiel:
Dein LAN Firewall Segment ist die 10.1.1.0 /24 und das Firewall Interface hat die 10.1.1.1
Dann lautet eine einfache Regel die nur SMB erlaubt an diesem Interface so:
ALLOW TCP 10.1.1.0 0.0.0.255 port:any any port:445
DENY any any
Regel = Erlaube alles was aus dem 10.1.1.0er Netz kommt mit beliebigen Quellport an beliebige Zieladresse mit Zielport TCP 445.
Das sollte für moderne SMB Versionen schon reichen.
Bedenke aber auch das dann kein DNS durchkommt falls du sowas benötigst. TCP/UDP 53 wäre dann sinnig auch noch freizugeben.
Für die älteren Ports dann noch:
(ALLOW TCP/UDP 10.1.1.0 0.0.0.255 port:any any port:range 53)
ALLOW TCP/UDP 10.1.1.0 0.0.0.255 port:any any port:range 137-139
DENY any any
In einer üblichen (richtigen) Firewall wie pfSense oder OpnSense führt das sofort zum gewünschten Ergebnis.