iptables 마운트 시간 초과 --policy OUTPUT DROP

tag-icon tag-icon centos mount iptables firewall cifs
iptables 마운트 시간 초과 --policy OUTPUT DROP

이전에는 기본적으로 모든 나가는 트래픽을 수락했습니다. 최근에는 기본적으로 출력을 거부하고 서버/애플리케이션 기능에 필요한 포트만 열도록 정책이 변경되었습니다.

오늘 아침에 드라이브를 마운트하려고 했을 때 시간 초과가 발생했습니다(대상 서버가 이미 작동 중이었습니다). 출력 정책을 허용으로 설정하면 문제 없이 설치할 수 있습니다.

방화벽에 다음 규칙을 추가했습니다.

Chain INPUT (policy DROP 166 packets, 49616 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:137 state NEW,ESTABLISHED 
  628 48984 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:137 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:138 state NEW,ESTABLISHED 
   32  7244 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:138 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:139 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:139 state NEW,ESTABLISHED

Chain OUTPUT (policy DROP 30 packets, 1800 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:137 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:137 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:138 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:138 state NEW,ESTABLISHED 
    3   180 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139 state NEW,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:139 state NEW,ESTABLISHED

일시적으로 출력을 허용하도록 설정하여 포트 udp:137, udp:138에서 일부 입력 트래픽을 생성했습니다. tcp:139에서 나가는 트래픽이 보입니다.

기본 출력을 DENY로 변경하면 시간 초과가 다시 발생합니다.

다음 줄 은 다음과 같습니다 /etc/fstab.

//example.com/shares/acoder /mnt/acoder cifs 자격 증명=/etc/credfile,dom=example,uid=0,gid=0,file_mode=0600,dir_mode=0700 0 0 0 0

위의 예에서 //example.com/shares/acoder는 Windows 서버입니다.

관련 부분입니다/etc/services

# grep -i NETBIOS /etc/services 
netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp
netbios-dgm     138/tcp                         # NETBIOS Datagram Service
netbios-dgm     138/udp
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp

설치하려면 어떤 다른 포트를 열어야 합니까 cifs?

답변1

또한 포트 445가 필요하며 들어오는 관련/확립 트래픽도 허용되는지 확인하십시오.

grep 445 /etc/services
microsoft-ds    445/tcp             # Microsoft Naked CIFS
microsoft-ds    445/udp

관련 정보