Samba funkitioniert nur ohne Firewall

Post Reply
Message
Author
Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

Samba funkitioniert nur ohne Firewall

#1 Post by Dennis_S »

Hallo nochmal ;)

ich habe SuSE Linux 10.0 und da ist eine Firewall direkt dabei.
Nun habe ich ein Samba Client eingerichtet um an die anderen Rechner im Netzwerk (Windoof) dran zu kommen.
Aber wenn die Firewall aktiv ist kommt ich nie dran.
Es kommt immer die Meldung das die Firewall vom System die Funktion nicht zu lässt.
Dabei hab ich den Samba Client und Server zugelassen?

Was muss ich tun? Oder kann mir jemand eine bessere Firewall "verschreiben"? :)

Gruß,
Dennis

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#2 Post by komsomolze »

Guten Morgen,


schau Dir bitte mal die Dateien /var/log/kern.log /var/log/messages an.
(wo Du halt Zeilen der Art
IN=~ OUT=~ MAC=~ ..........TCP/UDP.....
findest)
Wenn solche Zeilen nirgends stehen (root-Rechte!) schalte das Logging verworfener Pakete in YAST an.

Die interessanten LOG-Zeilen sollten an einem String wie "Yast-DROPPED" oder aehnlich erkennbar sein.
Hast Du die richtige LOG-Datei identifiziert oeffne eine root-Konsole und:
'tail -f /var/log/LOG-Datei | grep String'

Jetzt startest Du noch mal deine SAMBA-Versuche,
falls Du selbst damit nicht weiter kommst poste diese Zeilen hier zusaetzlich zur Firewall-Konfig-Datei aus /etc/sysconfig.


best greetings

Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

#3 Post by Dennis_S »

dhcppc4:/var/log # less kern.log
kern.log: No such file or directory
Meine messages Datei ist glaub ich eine Katastrophe... sie besteht nur aus den folgenden Zeilen:
Mar 4 05:19:57 linux kernel: ALSA sound/core/pcm_lib.c:158: BUG: stream = 1, pos = 0x1800, buffer size = 0x1800, period size = 0x800
Und bei dem tail Befehl:
dhcppc4:/home/dennis # tail -f /var/log/messages | grep String

dhcppc4:/home/dennis #
hmm was bedeutet das jetzt?

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#4 Post by komsomolze »

Guten Tag,

tschuldigung ob der Ungenauigkeit, habe jetzt selber nochmal nachgesehen (mind. ab SuSE 9.3):

Logging in /var/log/firewall
Konfig in /etc/sysconfig/SuSEfirewall2
Protokoll-Level: Yast: Sicherheit>firewall>Protokoll-Level:
Akzept.Pakete-NICHTS + Verworf.Pakete-ALLES


ciao

Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

#5 Post by Dennis_S »

Also die /var/log/firewall Logdatei hat 37 Zeilen.
Wollt die hier nicht posten deshalb hab ich sie in einer Textdatei hochgeladen.
Link zur Datei: http://87.106.1.80/dennis/firewall.txt

Die configdatei /etc/sysconfig/SuSEfirewall2: (ich hab die Kommentare # weg gemacht)
FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_MASQUERADE="no"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC="nlockmgr portmap status ypbind"
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

# #
#-------------------------------------------------------------------------#
# #
# EXPERT OPTIONS - all others please don't change these! #
# #
#-------------------------------------------------------------------------#
# #

FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="ipp netbios-ns netbios-dgm"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""
Protokoll-Level: Yast: Sicherheit>firewall>Protokoll-Level:
Akzept.Pakete-NICHTS + Verworf.Pakete-ALLES
Also ich kann nur einstellen:

"Akzeptierte Pakete protokollieren:
Nichts protokollieren (ausgewählt)
Nur kritische protokollieren
Alles protokollieren"

"Nicht akzeptierte Pakete protokollieren:
Nichts protokollieren
Nur kritische protokollieren
Alles protokollieren (ausgewählt)"

ist das so richtig?

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#6 Post by komsomolze »

hallo,


Du hast einige Services zur DMZ freigegeben,
Bist du selbst auch ein SAMBA-Server/Freigabe ?

nach dem Original-Post willst du als Client auf Freigaben im Netz zugreifen:
Probiere mal ein
'smbclient -L Netbios-Server-Name -U Domaene/Benutzer'
(ggf. noch mit '-I Netbios-Server-IP')

Dabei lass dann ein
'tail -f /var/log/firewall'
in einem Terminal mitlaufen


ciao

Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

#7 Post by Dennis_S »

Sorry, wenn ich das jetzt so sagen muss aber... ich versteh gerade nur noch Bahnhof :oops: :(

Ich habe eine Samba Freigabe.
Wenn "smbclient -L Netbios-Server-Name -U NW" eingebe (NW für die Domäne) dann kommt das die Verbindung zum NetBIOS Server-Name fehlgeschlagen ist.

Wofür ist tail?

Soll ich das alles machen mit aktivierter Firewall oder deaktivierter?

sorry. :oops: :oops: :oops:

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#8 Post by komsomolze »

hallo ,

'tail' zeigt die letzten Zeilen einer Datei an.
'-f' (follow) sorgt fuer die Dauerbeobachtung um eintreffende Meldungen zu verfolgen.


zu "smbclient":
Es ist ein Tool um dir Windows- oder SAMBA-Freigeben anzuzeigen.

Bsp:
Deine Domaene heisst "homegrp".
Der Rechner(Server) mit der Freigabe in der Domaene heisst "rechner1".
Ein Benutzer der Domaene, der auf diese Freigabe zugreifen darf heisst "karlheinz".

Der Aufruf
'smbclient -L rechner1 -U homegrp/karlheinz'
zeigt dann nach Eingabe des Passworts von karlheinz eine Liste von Freigaben auf rechner1 mit einer Liste von Win/Samba-Rechnern im Netzwerk.
Das sollte so ohne Firewall funktionieren. (bitte keine Sonderzeichen oder Umlaute oder Leerzeichen in Rechnernamen/Benutzernamen/Passwort)

Die eingeschaltete Firewall sollte dann bei diesem Aufruf eine Reihe von Meldungen produzieren welch mit dem 'tail' verfolgt werden, und um diese Meldungen geht es.



ciao

Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

#9 Post by Dennis_S »

ok danke. mal wieder was gelernt.

also hier die Ausgaben:

smbclient (mit aktivierten Firewall):
dhcppc4:/home/dennis # smbclient -L winxp -U NW/Samba
Password:
Domain=[winxp] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

Sharename Type Comment
--------- ---- -------
E$ Disk Standardfreigabe
IPC$ IPC Remote-IPC
D$ Disk Standardfreigabe
print$ Disk Druckertreiber
Dennis Disk
G$ Disk Standardfreigabe
F$ Disk Standardfreigabe
Y$ Disk Standardfreigabe
ADMIN$ Disk Remoteadmin
Drucker Printer HP Drucker
C$ Disk Standardfreigabe
Domain=[winxp] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

Server Comment
--------- -------

Workgroup Master
--------- -------
Vorher habe ich die firewall Logdatei geöffnet über tail...
Die ganzen Zeilen wurden seit Aufruf eingegeben:
dhcppc4:/home/dennis # tail -f /var/log/firewall
Feb 27 18:39:44 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=24053 PROTO=UDP SPT=137 DPT=1104 LEN=82
Mar 4 21:05:12 linux kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.1.37 DST=213.239.211.178 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=45392 DF PROTO=TCP SPT=37084 DPT=80 WINDOW=4352 RES=0x00 ACK FIN URGP=0 OPT (0101080A00026B450E7D4265)
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=44345 PROTO=UDP SPT=137 DPT=1025 LEN=82
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=44359 PROTO=UDP SPT=137 DPT=1025 LEN=82
Mar 4 21:05:37 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=2 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:57 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=5 DF PROTO=UDP SPT=138 DPT=138 LEN=228
Mar 4 21:06:17 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=218 TOS=0x00 PREC=0x00 TTL=64 ID=8 DF PROTO=UDP SPT=138 DPT=138 LEN=198
Mar 4 21:06:41 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=12 DF PROTO=UDP SPT=138 DPT=138 LEN=228
Wenn ich bei aktivierter Firewall aber über den Konqueror auf das Samba Netzwerk zugreife kommt das keine Netzwerke gefunden wurden und das es an der aktiven Firewall liegt.

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#10 Post by komsomolze »

hallo Dennis_S,
(aus dem Wochende zurueck)

in 'yast firewall' extern:SAMBA gewaehlt fuehrte zu:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns"

---------------------------------------------------------------------------------------------
alle Fehlermeldungen verschwanden mit:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="138 netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns 138"
(die zusaetzlichen '138' brauchte ich weil noch einige Maschinen hier nicht "Netbios ueber TCP" machen, was bei Dir natuerlich unnoetig sein koennte)

zusaetzlich war noetig 'yast sysconfig' >Netzwerk>Firewall:
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

und hilfreich ist in /etc/samba/smb.conf:
workgroup = Deine_Domaene
unix charset = ASCII/UTF8 (ausprobieren bei Problemen mit Umlauten)
------------------------------------------------------------------------------------------

Du solltest bei Deiner Konfiguration also die Dienste unter DMZ bei EXTERN eintragen.
Eine allgemeine Frage waere allerdings, da Du ja SAMBA/Netbios + NFS sowieso freigibst, und wenn Deine Maschine nicht direkt am Internet haengt, warum ueberhaupt den Paketfilter?
Besser waeren meiner Meinung nach:
/etc/hosts.allow + /etc/hosts.deny
/etc/samba/smb.conf + /etc/exports
und X mit der Option '-nolisten tcp' zu starten.


viel Erfolg

Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

#11 Post by Dennis_S »

Ich hab keine Ahnung wovon du redest... Sorry :(
Ich werd morgen glaub ich mal einen Kollegen fragen ob er weiß wie er es anstellen würde. :oops:

Ich bedanke mich trotzdem sehr herzlich für deine hilfsbereitschaft ;)

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#12 Post by komsomolze »

Guten Abend,


Vielleicht ist es so einfacher zu verstehen:

In den Ausschnitt deiner Konfig steht
>-----------------------------------------------
>FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
>FW_DEV_DMZ=""
>...
>FW_SERVICES_EXT_TCP=""
>...
>FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
>FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
>...
>FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
>FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
>------------------------------------------------

das heisst: YAST setzt deine Netzwerkkarte als extern (DEV_EXT), die von Dir geplanten offenen Ports sind aber unter SERVICES_DMZ eingetragen.
Um das zu aendern verwendest Du
'yast firewall'.
In der dortigen Maske waehlst Du als Zone EXTERN
und waehlst dort den Dienst 'Samba' aus.
Jetzt nimmst Du
'yast sysconfig' (> Netzwerk > Firewall > Susefirewall2)
und setzt
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

Nun solltest Du auf das Windows-Netzwerk Zugriff haben.


Gute Nacht

Dennis_S
Posts: 23
Joined: 03. Mar 2006 17:50

#13 Post by Dennis_S »

Hmm okay, habs gemacht.
Unter "Erlaubte Dienste" war allerdings nur Samba-Server.
Hab trotzdem sonst alles so gemacht und das Ergebnis ist das es endlich funktioniert ...

Danke :D :) 8)

Vielen dank für deine hilfe und die Geduld!

Post Reply