Firewallprobleme mit Streaming-Clients

[goetz]

Hallo,
es mehren sich die Meldungen, daß Media-Clients per smb (cifs) sich bei aktivierter Firewall nicht mehr verbinden können. Mit einer Teststellung ist das nachvollziehbar.
Xtreamer Client, DS411+II, Firewall aktiviert mit erlaubten Regeln aktiviert und den Rest verboten.
Ohne Firewall kann der Xtreamer smb Freigaben ohne Probleme anzeigen und wiedergeben. Wird die Firewall aktiviert ist Schicht im Schacht, "Anmeldung fehlgeschlagen".
Bestand Firewall aus der Regel "Windows/Mac Dateiserver":
1. erlaube alle tcp Verbindungen zu Zielport 137
2. eraube alle udp Verbindungen von Quellport 137

Was macht ein Windows PC zur Namensauflösung:
- es erfolgt ein Broadcast (xxx.xxx.xxx.255): udp Quellport 137 Zielport 137, alles OK

Was macht der Xtreamer zur Namensauflösung:
- es erfolgt ein Broadcast (xxx.xxx.xxx.255): udp Quellport 1028 Zielport 137

User Datagram Protocol, Src Port: 1028 (1028), Dst Port: netbios-ns (137)

Da die Firewall nur Port 137 udp als Quellport zuläßt wird udp Quellport 1028 verworfen und der Xtreamer erhält keine Antwort, nichts geht.
Wie das bei den WD TV live ausschaut weiß ich nicht, vermutlich ähnlich.

Temporäre Lösung:
DSM -> Systemsteuerung -> Firewall -> Erstellen-> Benutzerdefiniert
Typ: Port des Zielordners
Protokoll UDP
Ports(durch Kommas getrennt): 137
OK
Aktion Zulassen
OK
und speichern nicht vergessen.

An alle WD TV Live Besitzer und Wireshark Nutzer: bitte mal loggen was der WD so macht.
Selbst die DS-107+ (1636) baut die gleiche Regeln, verstehe noch nicht wieso das jetzt erst ans Licht tritt. Ich hatte die Firewall nie aktiv, somit nie aufgefallen.

Gruß Götz

 

[goetz]

Hallo,
noch zur Ergänzung, der Xtreamer wählt einen 4 stelligen zufälligen Quellport um einen netbios-ns Broadcast zum Zielport 137 abzusetzen.
Ubuntu wählt einen 5 stelligen Quellport. Somit dürfte faktisch kein Linux-Client bei aktivierter Firewall eine smb Verbindung aufbauen können.

Gruß Götz

 

[jahlives]

@goetz
könnte es eventuell daran liegen wer die Verbindung öffnet? 137 als Quellport wär ja ein Port den normalerweise nur root öffnen darf

 

[goetz]

Hi,

@goetz

wie, noch jemand da, ich führ doch ein Selbstgespräch

Windows pustet das als Quell- und Zielport raus, unter Linux müßte nmbd zuständig sein, auf der DS zB. läuft der unter root.

In der RFC 1002 konnte ich nichts finden was einen Quellport 137 vorschreibt.

Aber eigentlich ist die Firewallregel

ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137

eher schon ein Sicherheitsrisiko, allerdings nur im lokalen Netz niemand wird Port 137 am Router weiterleiten bzw. bei direkter PPPoE Verbindung smb erlauben.
Die Regel besagt nämlich erlaube alle UDP von einem Port 137 zu ALLEN Ports, Hauptsache Quellport stimmt der Rest ist egal.

Gruß Götz

 

[jahlives]

@mich ;-)

iptables -A INPUT -p udp --dport 137 -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j DROP

würde ich vorschlagen

 

[goetz]

also eine Allerweltseinstellung sieht ja in etwa so aus (DSM etliche Services erlaubt und wenn keine Regel zutrifft verweigern)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 6690,50002,50001,1723,137,138,139,445,443,80,3493,5001,5000,22,23
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1900,1194,55900:55910,161
DROP       all  --  0.0.0.0/0            0.0.0.0/0

state RELATED,ESTABLISHED ist bereits vorhanden (das war der Fehler in der 2197, da gab es die nicht)
Deine dritte Regel ist per
DROP all -- 0.0.0.0/0 0.0.0.0/0
bereits abgedeckt.
Bei Deiner ersten Regel kann das state eigentlich weg, was nicht NEW ist ist bereits per state RELATED,ESTABLISHED erlaubt. Dann bleibt aber die Frage was macht man wenn man mehrere Subnets betreibt (GUI-mäßig).
Eigentlich sollte udp dpt:137 erlaubt sein, wer das nach draußen weitergibt ist selber schuld.

Weitere Nebenwirkung:

Player 1: DS411+II mit Firewall aktiv und smb erlaubt, public ist ein gemeinsamer Ordner.
Player 2: DS209+II möchte den public Ordner von Player 1 remote zur Verfügung stellen, \\ds411plusii\public
Ergebnis: geht nicht per Name, per IP geht es, \\192.168.1.40\public

User Datagram Protocol, Src Port: 38707 (38707), Dst Port: netbios-ns (137)

das schickt Player 2 an 192.168.1.255 und erhält keine Antwort da Sourceport ungleich 137.
Diese Nebenwirkung nenne ich Bug.

Gruß Götz

 

[jahlives]

aber bis zum Source Port sollte der Player gar ned kommen. Das müsste eigentlich durch die 2. Regel Port 137 eingehend abgedeckt sein. Dort hats ja keine sport Prüfung. Die sollte also auch auf deinen Player zutreffen. Probier mal den RELATED,ESTABLISHED nach der Regel mit den vielen Ports zu machen oder versuch bei der Regel mit den vielen Ports explizit -m state --state NEW zu machen (weiss aber net ob state mit multiports überhaupt geht) Ich meine mal irgendwo gelesen zu haben, dass du mit RELATED und ESTABLISHED nur erwischt was mit NEW in iptables gsehen wurde.
Aus meinem Verständnis von iptables heraus ist die sport Regel auf jeden Fall nicht nötig, dass muss bereits abgedeckt sein

 

[goetz]

aber bis zum Source Port sollte der Player gar ned kommen. Das müsste eigentlich durch die 2. Regel Port 137 eingehend abgedeckt sein.

udp mein Freund, udp

 

[jahlives]

ah ich glaub ich habs gesehen Du hast ja multiport tcp in der Regel mit den vielen Port

 

[jahlives]

sorry manchmal les ich einfach zu schnell ;-)
Dann pack doch den 137 udp noch unten in die multiport udp Regel, und eine Regel ist gespart

 

[goetz]

ich will ja gar nichts packen, das ist alles Standardzeug des DSM und eingeschaltet hab ich die Firewall nur um Probleme verifizieren zu können, da muß Synology ran. Ist alles nur Analyse.
So wie die Firewall im DSM jetzt arbeitet werden alle Linux-Clienten die versuchen einen Namen aufzulösen beim Samba Dienst geblockt und das sollte nicht im Sinne des Erfinders sein.
Damit das bei mir funktioniert schalt ich die Firewall einfach wieder ab

Gruß Götz

 

[jahlives]

So wie die Firewall im DSM jetzt arbeitet werden alle Linux-Clienten die versuchen einen Namen aufzulösen beim Samba Dienst geblockt und das sollte nicht im Sinne des Erfinders sein.
Damit das bei mir funktioniert schalt ich die Firewall einfach wieder ab

wenn der Linux Client mit root resp sudo oder su läuft müsste es imho trotzdem klappen, den Quellport 137 zu nutzen.
Den letzten Satz finde ich super Denn mit dieser sport Regel hast du ja defacto deine Firewall bereits deaktiviert Zumindest im LAN und bei UDP Protokollen.
Wieso kommt eigentlich Syno auf die Idee eine Firewall mit solchen Regeln zu versorgen? Hat du mal alle Syno Regeln aktiviert und geguckt, wo sie sonst noch Müll bauen mit den Regeln? Für mich hat da jemand bei Syno keinerlei Ahnung gehabt was er/sie eigentlich tut. Und solche Leute sollten eigentlich nicht für so wichtige Dinge wie die Firewall zuständig sein.
Gerade mal noch gegoogelt: solange bei einem Linux der nmbd die Auflösung macht sollte eigentlich src Port 137 verwendet werden, denn der läuft wohl mit root Rechten. Wenn kein nmbd vorhanden ist, kann man scheinbar für die Auflösung auch nmblookup benutzen. Dieser bietet den Parameter -r um den Port festzulegen (braucht aber root Rechte für Port < 1024)

Try and bind to UDP port 137 to send and receive UDP datagrams. The reason for this option is a bug in Windows 95 where it ignores the source port of the requesting packet and only replies to UDP port 137. Unfortunately, on most UNIX systems root privilege is needed to bind to this port, and in addition, if the nmbd(8) daemon is running on this machine it also binds to this port.

@alle die ihre DS direkt am Modem haben (ohne Router/NAT)
der von goetz gefundene Bug macht die Firewall eigentlich (praktisch) wirkungslos. solange eine Verbindung von Port 137 UDP her aufgebaut wird, ist der komplette Zugriff auf alle UDP Protokolle möglich. Ohne die Firewall manuell mit Regeln zu versorgen würde ich niemandem empfehlen seine DS direkt am Internet (ohne Router) laufen zu lassen. Die ist offen wie ein Scheunentor!!

 

[goetz]

Hallo,
naja, die Regel erscheint ja nur wenn in der Firewall smb freigegeben wird und das ist an einer direkt am Modem angeschlossenen DS eh absolutes no-go. Ist smb nicht freigegeben erscheint auch diese Regel nicht. Die DS im lokalen Netz mit freigegebenem smb ist aber gegen einen lokalen Angriff nicht geschützt.

Gruß Götz

 

[jahlives]

naja, die Regel erscheint ja nur wenn in der Firewall smb freigegeben wird und das ist an einer direkt am Modem angeschlossenen DS eh absolutes no-go

Schaut denn die sport Regel anders aus wenn du bei der Samba Regel explizit das LAN als erlaubte Source angibst? Wird dann wenigstens in der sport Regel als source das LAN eingetragen?

 

[goetz]

kann ich erst testen wenn ich wieder im lokalen Netz bin. Aber auch das dürfte nicht gegen einen lokalen Angreifer schützen.

Gruß Götz

 

[jahlives]

stimmt wäre kein Schutz gegen lokal, aber würde immerhin zeigen, dass diese Müllregel wenigstens beeinflusst werden kann aus dem DSM und nicht einfach immer fix geschrieben wird wenn smb erlaubt wird. Ich wette ein Bierchen, dass die IP ignoriert wird (würde zu Syno passen). Wer hält dagegen? ;-)

 

[Matti]

Hallo Götz,
ich bin neu hier im Forum und kenne mich leider nicht besonderlich gut aus mit NAS Server.
Dies mal vorweg.
Ich habe eine DS212+
Das Problem wo ich habe, ich bekomme keine Verbindung über UPnP zu meinen Cambridge 751BD hin.
Im Netzwerk befinden sich beide, bei beiden funktioniert der Internet zugriff.
DS IP fest 192.168.162.30 ; Cambridge IP fest 192.168.162.32
Betriebssystem DS 4.1 Medienserver läuft
Habe schon viel probiert, habe leider im Moment keine Idee mehr.
In einem Blog von Dir habe ich gelesen Firewall "Deaktivieren" ?!?
Wenn ich die Firewall öffne sehe ich keinen Aktiven Eintrag ist sie dann deaktiviert?
Ich hoffe du kannst mir helfen.
Danke im Voraus
Gruß Matthias

 

[goetz]

Hallo,

Wenn ich die Firewall öffne sehe ich keinen Aktiven Eintrag ist sie dann deaktiviert?

wenn kein Eintrag aktiv ist und unten bei Wenn keine Regel zutrifft: der Punkt bei Zugriff erlauben ist, dann ist die Firewall deaktiviert.

Gruß Götz

 

[Matti]

Hallo,
ja die Firewall ist bei mir deaktiviert.
Leider kann ich meinen Cambridge 751BD nicht in der Geräteliste des Medien Server finden.
Der 751BD soll aber via UPnP ansprechbar sein.
Könnte mir jemand bitte eine Anleitung zum einrichten von UPnP, Medien Server auf der DS
geben.
Vielen Dank schon mal
Gruß Matthias

 

[Matti]

Hallo,
mein Problem hat sich erledigt!
Hatte in der Netzwerkkette noch einen 5PortSwitch mit Wlan.
Dieser ließ das UPnP nicht durch.
Trotzdem vielen Dank
Gruß Matthias