Jump to content
  • 0
KorDen

SMB HostAnnouncement летит в WAN

Question

В процессе изучения дампов заметил, что роутер зачем-то отправляет SMB HostAnnouncement наружу. В частности замечено на 2.15.A.4.0-3 при старом SMB/CIFS.

Это точно нормально?

Share this post


Link to post
Share on other sites

10 answers to this question

  • 0
17 часов назад, KorDen сказал:

В процессе изучения дампов заметил, что роутер зачем-то отправляет SMB HostAnnouncement наружу. В частности замечено на 2.15.A.4.0-3 при старом SMB/CIFS.

Это точно нормально?

Где снимался трафик? Снаружи, или через "захват пакетов"?

Share this post


Link to post
Share on other sites
  • 0
42 минуты назад, Le ecureuil сказал:

Снаружи, или через "захват пакетов"?

tcpdump под Entware (KN-1810).

Снаружи мне прилетает от других кинетиков в сегменте, и от себя вижу аналогичное.

Вот пример прилетающего снаружи

~ # tcpdump -e -vv -i eth3 -n port 138
tcpdump: listening on eth3, link-type EN10MB (Ethernet), capture size 262144 bytes
09:49:09.550169 [redacted] > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 243: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 229)
    10.[redacted].138 > 10.[redacted].255.138: [udp sum ok]
>>> NBT UDP PACKET(138) Res=0x1102 ID=0x4A22 IP=[redacted] Port=138 (0x8a) Length=187 (0xbb) Res2=0x0
SourceName=KEENETIC_OMNI   NameType=0x20 (Server)
DestName=WORKGROUP       NameType=0x1D (Master Browser)

SMB PACKET: SMBtrans (REQUEST)
SMB Command   =  0x25
...

 

Share this post


Link to post
Share on other sites
  • 0

Вообще странно, поскольку еще в 2.10 был добавлен фильтр этого "мусора" на выход в WAN. Он в какую сторону это делает, на WAN или на LAN?

Share this post


Link to post
Share on other sites
  • 0

Ой-ой-ой. Тогда ответить не успел, свалился TSMB на голову, выжидал пока поправят.

Короче, в WAN на самом деле летит очень много лишнего, например

90    17:35:31.332072    10.230.2.5    10.230.2.255    BROWSER    245    138    138    Local Master Announcement KEENETIC_GIGA, Workstation, Server, NT Workstation, NT Server, Master Browser

Дампил на сетевушке ПК, подключенного к WAN Giga KN-1010 на 2.15.B.0.0-1, дамп по фильтру "ip.src == 10.230.2.5"

Edited by KorDen

Share this post


Link to post
Share on other sites
  • 0
1 час назад, KorDen сказал:

Ой-ой-ой. Тогда ответить не успел, свалился TSMB на голову, выжидал пока поправят.

Короче, в WAN на самом деле летит очень много лишнего, например

90    17:35:31.332072    10.230.2.5    10.230.2.255    BROWSER    245    138    138    Local Master Announcement KEENETIC_GIGA, Workstation, Server, NT Workstation, NT Server, Master Browser

Дампил на сетевушке ПК, подключенного к WAN Giga KN-1010 на 2.15.B.0.0-1, дамп по фильтру "ip.src == 10.230.2.5"

Раньше все было, под рукой есть только выдержка из

<release>2.14.C.0.0-4</release>

На настроенных каналах

== Chain _NDM_OUTPUT ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "*", proto: "UDP"; jump to "_NDM_NBNS_OUTPUT_FILTER"

== Chain _NDM_NBNS_OUTPUT_FILTER ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, dports: 137-138; DROP
...
src: 0.0.0.0/0, dst: 192.168.2.255/32, in: "*", out: "cdc_br0", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 192.168.2.255/32, in: "*", out: "cdc_br0", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 192.168.2.0/24, in: "*", out: "cdc_br0", proto: "UDP"; "udp" match, sport: 5355; DROP

Сейчас 215B01 пусто

== Chain _NDM_OUTPUT ==
-> Chain default policy: RETURN

 

 

 

 

Share this post


Link to post
Share on other sites
  • 0
1 час назад, vasek00 сказал:

Сейчас 215B01 пусто

2.15.A.4.0-6 (CIFS NQ) - есть, 2.15.A.5.0-1 (TSMB) - нет. Хм.

Так. Кажется, картинка потихоньку складывается. Слишком много совпадений.. Оператор, вытащи меня отсюда!

... или не складывается. ЯННП,

- в поисках флуда (другого) я дамплю broadcast на WAN кинетика 2. 15.A.4.0- 3/CifsNQ

- в дампе замечаю SMB от себя. Полистав - замечаю, что подобное прилетает от других кинетиков в сети.
Сейчас я начинаю понимать, что другие кинетики вполне могут быть на древних прошивках.
Но тут возникает вопрос - насколько я понимаю, tcpdump показывает исходящие пакеты уже ПОСЛЕ iptables. Вначале была беглая мысль, что он показывает пакеты ДО iptables (которые не отсекаются), но ведь это же не так для OUTPUT. Хм. self-test я тогда не снимал.

- на 2.15.A.5.0-1 его действительно ломают. И мой нынешний дамп уже на сломанном, хотя я тему создал, когда еще поломано не было. Гм.

Сейчас проверил на Giga II @ 2.14 delta - в iptables правила есть, в исходящем tcpdump HostAnnouncement есть. Чо?

Share this post


Link to post
Share on other sites
  • 0

Гм.

2.14.C.0.0-4. CIFS NQ.

== Chain _NDM_OUTPUT ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "*", proto: "UDP"; jump to "_NDM_NBNS_OUTPUT_FILTER"
-> Chain default policy: RETURN
...
== Chain _NDM_NBNS_OUTPUT_FILTER ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ppp+", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ovpn_br+", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "ovpn_br+", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.0/24, in: "*", out: "eth3", proto: "UDP"; "udp" match, sport: 5355; DROP
src: 0.0.0.0/0, dst: 10.255.128.255/32, in: "*", out: "apcli0", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.255.128.255/32, in: "*", out: "apcli0", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.255.128.0/24, in: "*", out: "apcli0", proto: "UDP"; "udp" match, sport: 5355; DROP
-> Chain default policy: RETURN

А пакетики то сыпятся....

-----------

АААААААААА! Короче, оно дважды поломано. в CIFS NQ оно в фильтр не попадает, а в TSMB фильтра нет... Гы

Это пакет на 2.14:

67    21:15:01.510990    10.230.2.5    255.0.0.0    NBNS    110    137    137    Registration NB WORKGROUP<00>

А на eth3 у нас dst указан!

src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, sports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.255/32, in: "*", out: "eth3", proto: "UDP"; "udp" match, dports: 137-138; DROP
src: 0.0.0.0/0, dst: 10.230.2.0/24, in: "*", out: "eth3", proto: "UDP"; "udp" match, sport: 5355; DROP

Ну вот оно и...

Edited by KorDen

Share this post


Link to post
Share on other sites
  • 0

Давно сюда не лазил

215A300

Chain _NDM_NBNS_OUTPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    3  1452 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spt:5355

Chain _NDM_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  134 38223 _NDM_NBNS_OUTPUT_FILTER  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           

214В

Chain _NDM_NBNS_OUTPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   17  3184 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ppp+    0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp spts:137:138
    0     0 DROP       udp  --  *      ovpn_br+  0.0.0.0/0            0.0.0.0/0            udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp dpts:137:138
    0     0 DROP       udp  --  *      ppp0    0.0.0.0/0            IP_Prov                udp spt:5355

Chain _NDM_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  182 36992 _NDM_NBNS_OUTPUT_FILTER  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           

TSMB 215A406

[global]
	....
	listen = ANY,192.168.1.100,IPv4,445,DIRECT_TCP
	listen = ANY,192.168.1.100,IPv4,139,NBSS
	listen = br0,::,IPv6,445,DIRECT_TCP
	listen = br0,::,IPv6,139,NBSS
	log_level = 1
[/global]

 

Share this post


Link to post
Share on other sites
  • 0

Немного неактуально в связи с переходом на TSMB.

Особенность cifsnq была в том, что он биндился на 0.0.0.0 и слал свои анонсы вообще по рандомным адресам в рандомные интерфейсы. Починить это было проблематично: были попытки с помощью netfilter, но они, как видно выше, работают не всегда.

А TSMB сразу умеет слушать только там, где нужно, потому и фильтр на WAN не нужен.

Share this post


Link to post
Share on other sites
  • 0
27 минут назад, Le ecureuil сказал:

А TSMB сразу умеет слушать только там, где нужно, потому и фильтр на WAN не нужен.

Вон тот дамп ведь на TSMB сделан, и он в WAN летит

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×