Jump to content
  • 0
KorDen

SMB HostAnnouncement летит в WAN

Question

В процессе изучения дампов заметил, что роутер зачем-то отправляет SMB HostAnnouncement наружу. В частности замечено на 2.15.A.4.0-3 при старом SMB/CIFS.

Это точно нормально?

Share this post


Link to post
Share on other sites

11 answers to this question

Recommended Posts

  • 0
17 часов назад, KorDen сказал:

В процессе изучения дампов заметил, что роутер зачем-то отправляет SMB HostAnnouncement наружу. В частности замечено на 2.15.A.4.0-3 при старом SMB/CIFS.

Это точно нормально?

Где снимался трафик? Снаружи, или через "захват пакетов"?

Share this post


Link to post
Share on other sites
  • 0
42 минуты назад, Le ecureuil сказал:

Снаружи, или через "захват пакетов"?

tcpdump под Entware (KN-1810).

Снаружи мне прилетает от других кинетиков в сегменте, и от себя вижу аналогичное.

Вот пример прилетающего снаружи

~ # tcpdump -e -vv -i eth3 -n port 138
tcpdump: listening on eth3, link-type EN10MB (Ethernet), capture size 262144 bytes
09:49:09.550169 [redacted] > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 243: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 229)
    10.[redacted].138 > 10.[redacted].255.138: [udp sum ok]
>>> NBT UDP PACKET(138) Res=0x1102 ID=0x4A22 IP=[redacted] Port=138 (0x8a) Length=187 (0xbb) Res2=0x0
SourceName=KEENETIC_OMNI   NameType=0x20 (Server)
DestName=WORKGROUP       NameType=0x1D (Master Browser)

SMB PACKET: SMBtrans (REQUEST)
SMB Command   =  0x25
...

 

Share this post


Link to post
Share on other sites
  • 0

Вообще странно, поскольку еще в 2.10 был добавлен фильтр этого "мусора" на выход в WAN. Он в какую сторону это делает, на WAN или на LAN?

Share this post


Link to post
Share on other sites
  • 0

Ой-ой-ой. Тогда ответить не успел, свалился TSMB на голову, выжидал пока поправят.

Короче, в WAN на самом деле летит очень много лишнего, например

90    17:35:31.332072    10.230.2.5    10.230.2.255    BROWSER    245    138    138    Local Master Announcement KEENETIC_GIGA, Workstation, Server, NT Workstation, NT Server, Master Browser

Дампил на сетевушке ПК, подключенного к WAN Giga KN-1010 на 2.15.B.0.0-1, дамп по фильтру "ip.src == 10.230.2.5"

Edited by KorDen

Share this post


Link to post
Share on other sites
  • 0
1 час назад, KorDen сказал:

Ой-ой-ой. Тогда ответить не успел, свалился TSMB на голову, выжидал пока поправят.

Короче, в WAN на самом деле летит очень много лишнего, например

90    17:35:31.332072    10.230.2.5    10.230.2.255    BROWSER    245    138    138    Local Master Announcement KEENETIC_GIGA, Workstation, Server, NT Workstation, NT Server, Master Browser

Дампил на сетевушке ПК, подключенного к WAN Giga KN-1010 на 2.15.B.0.0-1, дамп по фильтру "ip.src == 10.230.2.5"

Раньше все было, под рукой есть только выдержка из

<release>2.14.C.0.0-4</release>

На настроенных каналах

== Chain _NDM_OUTPUT ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "*", proto: "UDP"; jump to "_NDM_NBNS_OUTPUT_FILTER"

== Chain _NDM_NBNS_OUTPUT_FILTER ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, dports: 137-138; DROP
...
src: 0.0.0.0/0, dst: 192.168.2.255/32, in: "*", out: "cdc_br0", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 192.168.2.255/32, in: "*", out: "cdc_br0", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 192.168.2.0/24, in: "*", out: "cdc_br0", proto: "UDP"; "udp" match, sport: 5355; DROP

Сейчас 215B01 пусто

== Chain _NDM_OUTPUT ==
-> Chain default policy: RETURN

 

 

 

 

Share this post


Link to post
Share on other sites
  • 0
1 час назад, vasek00 сказал:

Сейчас 215B01 пусто

2.15.A.4.0-6 (CIFS NQ) - есть, 2.15.A.5.0-1 (TSMB) - нет. Хм.

Так. Кажется, картинка потихоньку складывается. Слишком много совпадений.. Оператор, вытащи меня отсюда!

... или не складывается. ЯННП,

- в поисках флуда (другого) я дамплю broadcast на WAN кинетика 2. 15.A.4.0- 3/CifsNQ

- в дампе замечаю SMB от себя. Полистав - замечаю, что подобное прилетает от других кинетиков в сети.
Сейчас я начинаю понимать, что другие кинетики вполне могут быть на древних прошивках.
Но тут возникает вопрос - насколько я понимаю, tcpdump показывает исходящие пакеты уже ПОСЛЕ iptables. Вначале была беглая мысль, что он показывает пакеты ДО iptables (которые не отсекаются), но ведь это же не так для OUTPUT. Хм. self-test я тогда не снимал.

- на 2.15.A.5.0-1 его действительно ломают. И мой нынешний дамп уже на сломанном, хотя я тему создал, когда еще поломано не было. Гм.

Сейчас проверил на Giga II @ 2.14 delta - в iptables правила есть, в исходящем tcpdump HostAnnouncement есть. Чо?

Share this post


Link to post
Share on other sites
  • 0

Гм.

2.14.C.0.0-4. CIFS NQ.

== Chain _NDM_OUTPUT ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "*", proto: "UDP"; jump to "_NDM_NBNS_OUTPUT_FILTER"
-> Chain default policy: RETURN
...
== Chain _NDM_NBNS_OUTPUT_FILTER ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ovpn_br+", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ovpn_br+", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.0/24, in: "*", out: "eth3", proto: "UDP"; "udp" match, sport: 5355; DROP
src: 0.0.0.0/0, dst: 10.255.128.255/32, in: "*", out: "apcli0", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.255.128.255/32, in: "*", out: "apcli0", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.255.128.0/24, in: "*", out: "apcli0", proto: "UDP"; "udp" match, sport: 5355; DROP
-> Chain default policy: RETURN

А пакетики то сыпятся....

-----------

АААААААААА! Короче, оно дважды поломано. в CIFS NQ оно в фильтр не попадает, а в TSMB фильтра нет... Гы

Это пакет на 2.14:

67    21:15:01.510990    10.230.2.5    255.0.0.0    NBNS    110    137    137    Registration NB WORKGROUP<00>

А на eth3 у нас dst указан!

src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.0/24, in: "*", out: "eth3", proto: "UDP"; "udp" match, sport: 5355; DROP

Ну вот оно и...

Edited by KorDen

Share this post


Link to post
Share on other sites
  • 0

Давно сюда не лазил

215A300

Chain _NDM_NBNS_OUTPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    3  1452 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spt:5355

Chain _NDM_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  134 38223 _NDM_NBNS_OUTPUT_FILTER  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           

214В

Chain _NDM_NBNS_OUTPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   17  3184 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spt:5355

Chain _NDM_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  182 36992 _NDM_NBNS_OUTPUT_FILTER  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           

TSMB 215A406

[global]
	....
	listen = ANY,192.168.1.100,IPv4,445,DIRECT_TCP
	listen = ANY,192.168.1.100,IPv4,139,NBSS
	listen = br0,::,IPv6,445,DIRECT_TCP
	listen = br0,::,IPv6,139,NBSS
	log_level = 1
[/global]

 

Share this post


Link to post
Share on other sites
  • 0

Немного неактуально в связи с переходом на TSMB.

Особенность cifsnq была в том, что он биндился на 0.0.0.0 и слал свои анонсы вообще по рандомным адресам в рандомные интерфейсы. Починить это было проблематично: были попытки с помощью netfilter, но они, как видно выше, работают не всегда.

А TSMB сразу умеет слушать только там, где нужно, потому и фильтр на WAN не нужен.

Share this post


Link to post
Share on other sites
  • 0
27 минут назад, Le ecureuil сказал:

А TSMB сразу умеет слушать только там, где нужно, потому и фильтр на WAN не нужен.

Вон тот дамп ведь на TSMB сделан, и он в WAN летит

Share this post


Link to post
Share on other sites
  • 0

Отправили вопрос в Tuxera. Хотелось бы добиться от них, чтобы список прослушиваемых интерфейсов действовал на все сервисы. На данный момент NetBIOS и Browser вещают на все интерфейсы.

Если не получится, сделаем с помощью netfilter.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...