Problemas em Liberar portas para serviços de Impressão

acsoprana

Olá pessoal, eu tenho uma vlan de impressão com impressoras Multifuncionais e estou liberando as  portas necessárias. A impressão esta funcionando perfeitamente, porém a função de scanner que usa portas RPC (portas aleatórias) estão me dando uma dor de cabeça, porque não consigo fazer uma regra que funciona escanear da multifuncional para computador usando compartilhamento de porta 445.

Minha situação é a seguinte

IMPRESSORAS  tcp  ...:14620 -> x.x.x.x:445

Eu tenho uma regra na interface das impressoras assim:

Interface: Impressoras (Vlan 2)

Protocolo: TCP/UDP

Source: ANY

Destination: Vlan 3

Ports: 445

Mas só funciona se eu deixar a regra toda liberada.. De qualquer origem para qualquer destino.

marcelloc

monitora via tcpdump, normalmente uma regra do tipo

tcp/udp impressoras network any -> alias_dos_servidores_cifs alias_portas_smb

resolve a questão.

Libera consulta dns e acesso aos dcs para autenticar o usuário.

acsoprana

olá marcelo, desculpa a minha ignorância mais "acesso aos DCS para autenticar o usuário." ??? Não entendi essa parte

marcelloc

@acsoprana:

olá marcelo, desculpa a minha ignorância mais "acesso aos DCS para autenticar o usuário." ??? Não entendi essa parte

Impressoras com scanner e gravação em rede costumam ter também autenticação de usuário para imprimir, copiar e scanear localmente.

acsoprana

Pelo que entendi, então eu deveria ter um servidor AD com consulta de domínio no DNS (registros das estações de trabalho) ? seria Isso???

eu tenho apenas usuários de máquinas com compartilhamento de pastas em rede local…

marcelloc

@acsoprana:

Pelo que entendi, então eu deveria ter um servidor AD com consulta de domínio no DNS (registros das estações de trabalho) ? seria Isso???

Não. Estou só descrendo os tipos de serviços que uma impressora dessas pode fazer. Se você não habilitou integração com o AD, não precisa criar regras de firewall para comunicação entre a impressora e o AD.

acsoprana

Pessoal tentei de todas as formas fazer as impressoras multifuncionais enviarem os documentos escaneados da Vlan das impressoras (192.168.1.1/24 - vlan 400) para a vlan da rede interna (172.191.1.1 - vlan 2) liberando apenas a porta 445 e não tive sucesso. Só funciona se eu liberar o trafego todo da vlan 400. mais eu não posso deixar tudo liberado para outras vlan.

Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
 IPv4 *	   *	          *	   *	                *	       *	none

Fiz um teste usando tcpdump … segue o resultado com tudo liberado e o escaneamento funcionando:

tcpdump -n -i bge2 \( vlan 400 \)
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge2, link-type EN10MB (Ethernet), capture size 262144 bytes
15:19:50.603873 IP 192.168.1.1.47445 > 192.168.1.254.53: 51131+ CNAME? 172.19.1.1\. (30)
15:19:50.607180 IP 192.168.1.1.47538 > 192.168.1.254.53: 16928+ CNAME? 172.19.1.1.santarosa.ifc.edu.br. (51)
15:19:50.757816 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [s], seq 421951579, win 14600, options [mss 1460,sackOK,TS val 333666 ecr 0,nop,wscale 4], length 0
15:19:50.758544 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 2195180477, win 913, length 0
15:19:50.759074 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 0:62, ack 1, win 913, length 62 SMB PACKET: SMBnegprot (REQUEST)

15:19:50.760067 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 453, win 980, length 0
15:19:50.805951 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 62:231, ack 453, win 980, length 169 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.807096 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 778, win 1047, length 0
15:19:50.828114 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 231:697, ack 778, win 1047, length 466 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.834501 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 697:817, ack 863, win 1047, length 120 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.837149 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 817:943, ack 947, win 1047, length 126 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.843679 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 943:1035, ack 1103, win 1114, length 92 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.876375 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 1231, win 1181, length 0
15:19:50.887889 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 1035:1161, ack 1231, win 1181, length 126 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.888729 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 1387, win 1248, length 0
15:19:50.893740 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 1161:1253, ack 1387, win 1248, length 92 SMB-over-TCP packet:(raw data or continuation?)

15:19:50.926397 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 1515, win 1315, length 0
15:20:00.904871 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 1253:1325, ack 1515, win 1315, length 72 SMB-over-TCP packet:(raw data or continuation?)

15:20:00.905620 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 1587, win 1315, length 0
15:20:10.660405 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 1325:1445, ack 1587, win 1315, length 120 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.661292 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 1671, win 1315, length 0
15:20:10.661959 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 1445:1653, ack 1671, win 1315, length 208 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.667541 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 1653:3113, ack 1827, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.667691 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 3113:4573, ack 1827, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.667702 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 4573:6033, ack 1827, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.667712 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 6033:7493, ack 1827, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.667842 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 7493:8953, ack 1827, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.667853 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 8953:9817, ack 1827, win 1382, length 864 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.674480 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 9817:11277, ack 1911, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.674492 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 11277:12737, ack 1911, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.674631 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 12737:14197, ack 1911, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.674642 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 14197:15657, ack 1911, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.674783 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 15657:17117, ack 1911, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.674793 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 17117:17981, ack 1911, win 1382, length 864 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.680575 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 17981:19441, ack 1995, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.680727 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 19441:20901, ack 1995, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.680737 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 20901:22361, ack 1995, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.680877 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 22361:23821, ack 1995, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.680887 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 23821:25281, ack 1995, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.680895 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 25281:26145, ack 1995, win 1382, length 864 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.687844 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 26145:27605, ack 2079, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.687995 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 27605:29065, ack 2079, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.688005 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 29065:30525, ack 2079, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.688146 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 30525:31985, ack 2079, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.688297 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 31985:33445, ack 2079, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.688307 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 33445:34309, ack 2079, win 1382, length 864 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.694630 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 34309:35769, ack 2163, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.694781 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 35769:37229, ack 2163, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.694792 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 37229:38689, ack 2163, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.694800 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], seq 38689:40149, ack 2163, win 1382, length 1460 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.694932 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 40149:41276, ack 2163, win 1382, length 1127 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.700412 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [P.], seq 41276:41368, ack 2247, win 1382, length 92 SMB-over-TCP packet:(raw data or continuation?)

15:20:10.736630 IP 192.168.1.1.17564 > 172.19.1.1.445: Flags [.], ack 2375, win 1449, length 0

[b]Eu preciso liberar apenas comunicação com uma vlan e não com todas[/b]

[/s]

marcelloc

@acsoprana:

Só funciona se eu liberar o trafego todo da vlan 400. mais eu não posso deixar tudo liberado para outras vlan.

Restrinja o acesso nas regras de firewall e monitore pelo tcpdump pra ver o que mais ele está tentando acessar.