Samba 4.0で必要なポートについて、Sambaの公式wiki「Samba port usage」を参考に設定を作成した。
とりあえず、上記のページから必要なポートについて引用
| Service | Port | protocol |
|---|---|---|
| DNS | 53 | tcp/udp |
| Kerberos | 88 | tcp/udp |
| End Point Mapper (DCE/RPC Locator Service) | 135 | tcp |
| NetBIOS Name Service | 137 | udp |
| NetBIOS Datagram | 138 | udp |
| NetBIOS Session | 139 | tcp |
| LDAP | 389 | tcp/udp |
| SMB over TCP | 445 | tcp |
| Kerberos kpasswd | 464 | tcp/udp |
| LDAPS (only if “tls enabled = yes”) | 636 | tcp | Global Cataloge | 3268 | tcp |
| Global Cataloge SSL (only if “tls enabled = yes”) | 3269 | tcp |
| Multicast DNS | 5353 | tcp/udp |
また、Microsoft公式の「Windows のサービス概要およびネットワーク ポート要件」も参照して、必要そうなポートについて、以下のように設定した。
# for DNS -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT # for Kerberos -A INPUT -p udp -m udp --dport 88 -j ACCEPT -A INPUT -p tcp -m tcp --dport 88 -j ACCEPT -A INPUT -p udp -m udp --dport 464 -j ACCEPT -A INPUT -p tcp -m tcp --dport 464 -j ACCEPT # for LDAP -A INPUT -p udp -m udp --dport 389 -j ACCEPT -A INPUT -p tcp -m tcp --dport 389 -j ACCEPT -A INPUT -p tcp -m tcp --dport 636 -j ACCEPT # for SMB #-A INPUT -p udp -m udp --dport 137 -j ACCEPT #-A INPUT -p udp -m udp --dport 138 -j ACCEPT -A INPUT -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -p tcp -m tcp --dport 445 -j ACCEPT # for RPC and SYSVOL -A INPUT -p tcp -m tcp --dport 135 -j ACCEPT -A INPUT -p tcp -m tcp --dport 5722 -j ACCEPT # for Global Catalog -A INPUT -p tcp -m tcp --dport 3268 -j ACCEPT -A INPUT -p tcp -m tcp --dport 3269 -j ACCEPT # for Multicast DNS -A INPUT -p udp -m udp --dport 5353 -j ACCEPT -A INPUT -p tcp -m tcp --dport 5353 -j ACCEPT
上記をRHEL/CentOSの/etc/sysconfig/iptablesの適切な位置に追加する。
for SMBのUDP 137,138については、samba wikiの方にいるポートとして記載されているが、無くても動くようなのでコメントにしている。
