RAIDar je blokován firewallem

Bobous

RAIDar je blokován firewallem
« kdy: 21. 03. 2015, 13:13:22 »
Ahoj všichni, mám násl. problém.
Právě jsem nainstaloval utilitku RAIDar, což je nástroj na vyhledávání ReadyNAS  (NAS od NETGEARu) na síti. Instalace proběhla OK. Utilitka funguje, ale blokuje ji FirewallD. Když firewalího démona vypnu (systemctl stop firewalld), tak utilitka dle očekávání na síti všechny ReadyNASy najde.
RAIDar pro komunikaci používá IPv4, UDP, port 22081.
Komunikace je celkem jednoduchá:
ode mě:                   MOJE_IP.48692(což je pseudonáhodný port) > 255.255.255.255.22081: UDP, length 28
odpověď od NAS:     IP_READYNAS.22081 > 255.255.255.255.48692: UDP, length 551

Prostě, já z nějakého pseudonáhodného portu pošlu broadcast s destination portem 22081.
Všechny ReadyNASy na síti odpoví broadcastem z portu 22081 na můj pseudonáhodný port.

Ve FirewallD jsem vytvořil novou service "raidar", kde komunikaci 22081, UDP povoluji.
Konkrétně to vypadá takhle:
/etc/firewalld/services/raidar.xml

<service>
  <short>RAIDar</short>
  <description>RAIDar is used to discover ReadyNAS devices on the network.</description>
  <port protocol="udp" port="22081"/>
</service>

Tuhle service jsem povolil v defaultní zóně public, pak jsem zkoušel i ostatní zóny. Všechno bezvýsledně. Firewall komunikaci stále blokuje. Kde dělám chybu??

Předem děkuji všem, kdo jsou ochotní věnovat mi svůj čas na radu.
« Poslední změna: 22. 03. 2015, 16:49:20 od Petr Krčmář »


Bobous

Re:NETGEAR RAIDar a Fedora 21 - jak na to?
« Odpověď #1 kdy: 21. 03. 2015, 14:05:59 »
Když jsem do service přidal ještě
<port protocol="udp" port="30000-60000"/>
tak všechno funguje jak má. Tohle je ale samozřejmě řešení jak "noha". To už rovnou mohu ten firewall vypnout úplně.
Asi jsem nepochopil jak ten FirewallD funguje, ale myslel jsdem, že si pamatuje z jakého portu na jaký lezu ven a tak odpověď propustí.

Bobous

Re:NETGEAR RAIDar a Fedora 21 - jak na to?
« Odpověď #2 kdy: 21. 03. 2015, 20:33:14 »
Zatím nikdo neodpověděl, tak se zeptám znova. Znáte někdo FirewallD, který nahradil ve Fedoře a v RHEL 7 dřívější iptables? Jak mám FirewallD nastavit aby RAIDar fungoval aniž by tam musela být vytvořená taková obludná díra? Předem děkuji všem, kdo mě něco kloudného odpoví. :)

asd

Re:NETGEAR RAIDar a Fedora 21 - jak na to?
« Odpověď #3 kdy: 21. 03. 2015, 22:26:09 »
jo jo, vsiml jsem si, ze tam je.
service iptables stop
service ip6tables stop
service firewalld stop

jinak je k tomu nejake GUI
nebo
firewall-cmd
nebo docasne
lokkit

SB

Re:RAIDar je blokován firewallem
« Odpověď #4 kdy: 01. 04. 2015, 09:41:47 »
Jak funguje FirewallId, nevím, ale buďto stavově, takže broadcast ven (když není zakázaný) projde, pak je otázkou, co udělá s odpovědí, kterou nemusí rozeznat, protože cílová adresa odchozí komunikace (broadcast) se neshoduje se zdrojovou odpovědi (NAS)...,
nebo funguje nestavově - jestli se dostane broadcast ven, odpověď se vrací na ten samý odchozí port, který je náhodný, takže by firewall musel mít (jako službu) otevřen celý rozsah portů, ze kterých RAIDar odesílá. Takže nastavení služby (service) na port 22081 nedává smysl, protože podle názvu „service“ jde o povolený příchozí port, ne cílový odchozí komunikace. Naopak povolení portů služby 30000-60000 znamená, že odpověď na příchozí port 48692 projde.
Takže bych se pokusil zjistit, zda jde omezit rozsah odchozích portů RAIDaru, který by byl pak firewallem povolen.