Какие порты мне нужно оставить открытым для работы kinit?

Question

Я пытаюсь настроить клиентскую машину, чтобы работать только с kinit. До сих пор мои правила похожи

:INPUT DROP [0:0] 
:FORWARD DROP [0:0] 
:OUTPUT DROP [0:0] 
-A INPUT -i eth0 -s 192.168.1.130 -p tcp -m tcp --sport kerberos -j ACCEPT 
-A INPUT -i eth0 -s 192.168.1.130 -p udp -m udp --sport kerberos -j ACCEPT 
-A OUTPUT -i eth0 -d 192.168.1.130 -p tcp -m tcp --dport kerberos -j ACCEPT 
-A OUTPUT -i eth0 -d 192.168.1.130 -p udp -m udp --dport kerberos -j ACCEPT 

С этим как есть, когда я бегу "Kinit remuser", я получаю ошибку

kinit: Cannot contact any KDC for realm 'EXAMPLE.COM' while getting initial credentials 

Если я бегу

iptables -P INPUT ACCEPT 

то «kinit remuser» работает так, как ожидалось. И после этого первого успеха, если я запустил

iptables -P INPUT DROP 

он все еще продолжает работать.

Я пробовал использовать wirehark, чтобы увидеть, что я изначально не разрешаю. Это похоже на arp, но я не могу постоянно видеть это ... и я подумал, что iptables не должен связываться с arp. Я не вижу ничего отсутствующего с помощью «arp -n» или «ip -s neigh».

У меня настроен клиент и сервер правильно, чтобы работать, но я все еще слишком новичок в этом материале, чтобы узнать, какие другие порты мне нужно, чтобы это работало. Если кто-нибудь может дать мне несколько советов, я был бы признателен.

ОБНОВЛЕНИЕ Хотя мой адаптер, как утверждается, был в беспорядочном режиме, этого не было. Я закончил работать с wirehark на сервере и не видел никаких других номеров портов. Для того, чтобы убедиться в том, что я обновил правила включить

-A INPUT -s 192.168.1.130 -j ACCEPT 

и, как предложил успешный захват Kinit Wireshark, это не помогло. Только когда я открываю все INPUT, что он работает.

Спасибо. Hector

Answer 1

Kerberos обычно udp по умолчанию. Я не знаком с IP-таблицами, но при том, что номер порта на сервере определен, номер порта на клиенте полностью случайный. Таким образом, любой фильтр на основе ip должен разрешать входящие пакеты udp с произвольными номерами портов клиента.

Аналогичным образом на исходящей стороне вы должны иметь возможность отправлять пакеты с произвольными портами udp на стороне клиента. Для kinit вам нужен только порт kerberos, но смена паролей и т. Д. Вам также понадобятся порты kadmin.

Сказав все это и сделав все возможное, чтобы понять, что означает правила IP-таблиц, я думаю, что это то, что вы реализовали. Однако вам также необходим доступ к DNS srv records или к рабочему krb5.conf.

http://wiki.unixh4cks.com/index.php/Using_DNS_SRV_records_to_find_Kerberos_realm_servers

Может быть, что Kinit начинает работать, когда вы разрешаете входящие DNS запись поиск. Это также объясняет, почему он продолжает работать после первого соединения, так как, вероятно, запись DNS-кэшируется в системе. Является ли сервер указан в вашем файле krb5.conf в файле/etc/hosts? Если бы это не объяснило поведение.

Думая об этом немного больше, что именно вы ожидаете от этого билета после его получения? Вся суть kerberos заключается в обеспечении безопасности в открытой сети за счет обеспечения конечных точек, а не путем внедрения брандмауэров.

Answer 2

У меня есть. И, возможно, это относится только ко мне или кому-либо другому, использующему HW VPN. Для продолжения транзакции для транзакции krb5 необходимо получить пакет ICMP типа 3. Мои коллеги, которые тестируют что-то подобное в рабочей сети, не видят этой проблемы, поэтому нам нужно выяснить, что особенного в моем случае и относится ли оно к другим вещам.

Самая сложная часть всего этого - найти проводной адаптер, который действительно поддерживает беспорядочный режим.