Samba funkitioniert nur ohne Firewall
Samba funkitioniert nur ohne Firewall
Hallo nochmal
ich habe SuSE Linux 10.0 und da ist eine Firewall direkt dabei.
Nun habe ich ein Samba Client eingerichtet um an die anderen Rechner im Netzwerk (Windoof) dran zu kommen.
Aber wenn die Firewall aktiv ist kommt ich nie dran.
Es kommt immer die Meldung das die Firewall vom System die Funktion nicht zu lässt.
Dabei hab ich den Samba Client und Server zugelassen?
Was muss ich tun? Oder kann mir jemand eine bessere Firewall "verschreiben"?
Gruß,
Dennis
ich habe SuSE Linux 10.0 und da ist eine Firewall direkt dabei.
Nun habe ich ein Samba Client eingerichtet um an die anderen Rechner im Netzwerk (Windoof) dran zu kommen.
Aber wenn die Firewall aktiv ist kommt ich nie dran.
Es kommt immer die Meldung das die Firewall vom System die Funktion nicht zu lässt.
Dabei hab ich den Samba Client und Server zugelassen?
Was muss ich tun? Oder kann mir jemand eine bessere Firewall "verschreiben"?
Gruß,
Dennis
-
- Posts: 430
- Joined: 03. Mar 2006 23:16
Guten Morgen,
schau Dir bitte mal die Dateien /var/log/kern.log /var/log/messages an.
(wo Du halt Zeilen der Art
IN=~ OUT=~ MAC=~ ..........TCP/UDP.....
findest)
Wenn solche Zeilen nirgends stehen (root-Rechte!) schalte das Logging verworfener Pakete in YAST an.
Die interessanten LOG-Zeilen sollten an einem String wie "Yast-DROPPED" oder aehnlich erkennbar sein.
Hast Du die richtige LOG-Datei identifiziert oeffne eine root-Konsole und:
'tail -f /var/log/LOG-Datei | grep String'
Jetzt startest Du noch mal deine SAMBA-Versuche,
falls Du selbst damit nicht weiter kommst poste diese Zeilen hier zusaetzlich zur Firewall-Konfig-Datei aus /etc/sysconfig.
best greetings
schau Dir bitte mal die Dateien /var/log/kern.log /var/log/messages an.
(wo Du halt Zeilen der Art
IN=~ OUT=~ MAC=~ ..........TCP/UDP.....
findest)
Wenn solche Zeilen nirgends stehen (root-Rechte!) schalte das Logging verworfener Pakete in YAST an.
Die interessanten LOG-Zeilen sollten an einem String wie "Yast-DROPPED" oder aehnlich erkennbar sein.
Hast Du die richtige LOG-Datei identifiziert oeffne eine root-Konsole und:
'tail -f /var/log/LOG-Datei | grep String'
Jetzt startest Du noch mal deine SAMBA-Versuche,
falls Du selbst damit nicht weiter kommst poste diese Zeilen hier zusaetzlich zur Firewall-Konfig-Datei aus /etc/sysconfig.
best greetings
Meine messages Datei ist glaub ich eine Katastrophe... sie besteht nur aus den folgenden Zeilen:dhcppc4:/var/log # less kern.log
kern.log: No such file or directory
Und bei dem tail Befehl:Mar 4 05:19:57 linux kernel: ALSA sound/core/pcm_lib.c:158: BUG: stream = 1, pos = 0x1800, buffer size = 0x1800, period size = 0x800
hmm was bedeutet das jetzt?dhcppc4:/home/dennis # tail -f /var/log/messages | grep String
dhcppc4:/home/dennis #
-
- Posts: 430
- Joined: 03. Mar 2006 23:16
Also die /var/log/firewall Logdatei hat 37 Zeilen.
Wollt die hier nicht posten deshalb hab ich sie in einer Textdatei hochgeladen.
Link zur Datei: http://87.106.1.80/dennis/firewall.txt
Die configdatei /etc/sysconfig/SuSEfirewall2: (ich hab die Kommentare # weg gemacht)
"Akzeptierte Pakete protokollieren:
Nichts protokollieren (ausgewählt)
Nur kritische protokollieren
Alles protokollieren"
"Nicht akzeptierte Pakete protokollieren:
Nichts protokollieren
Nur kritische protokollieren
Alles protokollieren (ausgewählt)"
ist das so richtig?
Wollt die hier nicht posten deshalb hab ich sie in einer Textdatei hochgeladen.
Link zur Datei: http://87.106.1.80/dennis/firewall.txt
Die configdatei /etc/sysconfig/SuSEfirewall2: (ich hab die Kommentare # weg gemacht)
FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_MASQUERADE="no"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC="nlockmgr portmap status ypbind"
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
# #
#-------------------------------------------------------------------------#
# #
# EXPERT OPTIONS - all others please don't change these! #
# #
#-------------------------------------------------------------------------#
# #
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="ipp netbios-ns netbios-dgm"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""
Also ich kann nur einstellen:Protokoll-Level: Yast: Sicherheit>firewall>Protokoll-Level:
Akzept.Pakete-NICHTS + Verworf.Pakete-ALLES
"Akzeptierte Pakete protokollieren:
Nichts protokollieren (ausgewählt)
Nur kritische protokollieren
Alles protokollieren"
"Nicht akzeptierte Pakete protokollieren:
Nichts protokollieren
Nur kritische protokollieren
Alles protokollieren (ausgewählt)"
ist das so richtig?
-
- Posts: 430
- Joined: 03. Mar 2006 23:16
hallo,
Du hast einige Services zur DMZ freigegeben,
Bist du selbst auch ein SAMBA-Server/Freigabe ?
nach dem Original-Post willst du als Client auf Freigaben im Netz zugreifen:
Probiere mal ein
'smbclient -L Netbios-Server-Name -U Domaene/Benutzer'
(ggf. noch mit '-I Netbios-Server-IP')
Dabei lass dann ein
'tail -f /var/log/firewall'
in einem Terminal mitlaufen
ciao
Du hast einige Services zur DMZ freigegeben,
Bist du selbst auch ein SAMBA-Server/Freigabe ?
nach dem Original-Post willst du als Client auf Freigaben im Netz zugreifen:
Probiere mal ein
'smbclient -L Netbios-Server-Name -U Domaene/Benutzer'
(ggf. noch mit '-I Netbios-Server-IP')
Dabei lass dann ein
'tail -f /var/log/firewall'
in einem Terminal mitlaufen
ciao
Sorry, wenn ich das jetzt so sagen muss aber... ich versteh gerade nur noch Bahnhof
Ich habe eine Samba Freigabe.
Wenn "smbclient -L Netbios-Server-Name -U NW" eingebe (NW für die Domäne) dann kommt das die Verbindung zum NetBIOS Server-Name fehlgeschlagen ist.
Wofür ist tail?
Soll ich das alles machen mit aktivierter Firewall oder deaktivierter?
sorry.
Ich habe eine Samba Freigabe.
Wenn "smbclient -L Netbios-Server-Name -U NW" eingebe (NW für die Domäne) dann kommt das die Verbindung zum NetBIOS Server-Name fehlgeschlagen ist.
Wofür ist tail?
Soll ich das alles machen mit aktivierter Firewall oder deaktivierter?
sorry.
-
- Posts: 430
- Joined: 03. Mar 2006 23:16
hallo ,
'tail' zeigt die letzten Zeilen einer Datei an.
'-f' (follow) sorgt fuer die Dauerbeobachtung um eintreffende Meldungen zu verfolgen.
zu "smbclient":
Es ist ein Tool um dir Windows- oder SAMBA-Freigeben anzuzeigen.
Bsp:
Deine Domaene heisst "homegrp".
Der Rechner(Server) mit der Freigabe in der Domaene heisst "rechner1".
Ein Benutzer der Domaene, der auf diese Freigabe zugreifen darf heisst "karlheinz".
Der Aufruf
'smbclient -L rechner1 -U homegrp/karlheinz'
zeigt dann nach Eingabe des Passworts von karlheinz eine Liste von Freigaben auf rechner1 mit einer Liste von Win/Samba-Rechnern im Netzwerk.
Das sollte so ohne Firewall funktionieren. (bitte keine Sonderzeichen oder Umlaute oder Leerzeichen in Rechnernamen/Benutzernamen/Passwort)
Die eingeschaltete Firewall sollte dann bei diesem Aufruf eine Reihe von Meldungen produzieren welch mit dem 'tail' verfolgt werden, und um diese Meldungen geht es.
ciao
'tail' zeigt die letzten Zeilen einer Datei an.
'-f' (follow) sorgt fuer die Dauerbeobachtung um eintreffende Meldungen zu verfolgen.
zu "smbclient":
Es ist ein Tool um dir Windows- oder SAMBA-Freigeben anzuzeigen.
Bsp:
Deine Domaene heisst "homegrp".
Der Rechner(Server) mit der Freigabe in der Domaene heisst "rechner1".
Ein Benutzer der Domaene, der auf diese Freigabe zugreifen darf heisst "karlheinz".
Der Aufruf
'smbclient -L rechner1 -U homegrp/karlheinz'
zeigt dann nach Eingabe des Passworts von karlheinz eine Liste von Freigaben auf rechner1 mit einer Liste von Win/Samba-Rechnern im Netzwerk.
Das sollte so ohne Firewall funktionieren. (bitte keine Sonderzeichen oder Umlaute oder Leerzeichen in Rechnernamen/Benutzernamen/Passwort)
Die eingeschaltete Firewall sollte dann bei diesem Aufruf eine Reihe von Meldungen produzieren welch mit dem 'tail' verfolgt werden, und um diese Meldungen geht es.
ciao
ok danke. mal wieder was gelernt.
also hier die Ausgaben:
smbclient (mit aktivierten Firewall):
Die ganzen Zeilen wurden seit Aufruf eingegeben:
also hier die Ausgaben:
smbclient (mit aktivierten Firewall):
Vorher habe ich die firewall Logdatei geöffnet über tail...dhcppc4:/home/dennis # smbclient -L winxp -U NW/Samba
Password:
Domain=[winxp] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Sharename Type Comment
--------- ---- -------
E$ Disk Standardfreigabe
IPC$ IPC Remote-IPC
D$ Disk Standardfreigabe
print$ Disk Druckertreiber
Dennis Disk
G$ Disk Standardfreigabe
F$ Disk Standardfreigabe
Y$ Disk Standardfreigabe
ADMIN$ Disk Remoteadmin
Drucker Printer HP Drucker
C$ Disk Standardfreigabe
Domain=[winxp] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Server Comment
--------- -------
Workgroup Master
--------- -------
Die ganzen Zeilen wurden seit Aufruf eingegeben:
Wenn ich bei aktivierter Firewall aber über den Konqueror auf das Samba Netzwerk zugreife kommt das keine Netzwerke gefunden wurden und das es an der aktiven Firewall liegt.dhcppc4:/home/dennis # tail -f /var/log/firewall
Feb 27 18:39:44 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=24053 PROTO=UDP SPT=137 DPT=1104 LEN=82
Mar 4 21:05:12 linux kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.1.37 DST=213.239.211.178 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=45392 DF PROTO=TCP SPT=37084 DPT=80 WINDOW=4352 RES=0x00 ACK FIN URGP=0 OPT (0101080A00026B450E7D4265)
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=44345 PROTO=UDP SPT=137 DPT=1025 LEN=82
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=44359 PROTO=UDP SPT=137 DPT=1025 LEN=82
Mar 4 21:05:37 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=2 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:57 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=5 DF PROTO=UDP SPT=138 DPT=138 LEN=228
Mar 4 21:06:17 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=218 TOS=0x00 PREC=0x00 TTL=64 ID=8 DF PROTO=UDP SPT=138 DPT=138 LEN=198
Mar 4 21:06:41 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=12 DF PROTO=UDP SPT=138 DPT=138 LEN=228
-
- Posts: 430
- Joined: 03. Mar 2006 23:16
hallo Dennis_S,
(aus dem Wochende zurueck)
in 'yast firewall' extern:SAMBA gewaehlt fuehrte zu:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns"
---------------------------------------------------------------------------------------------
alle Fehlermeldungen verschwanden mit:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="138 netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns 138"
(die zusaetzlichen '138' brauchte ich weil noch einige Maschinen hier nicht "Netbios ueber TCP" machen, was bei Dir natuerlich unnoetig sein koennte)
zusaetzlich war noetig 'yast sysconfig' >Netzwerk>Firewall:
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
und hilfreich ist in /etc/samba/smb.conf:
workgroup = Deine_Domaene
unix charset = ASCII/UTF8 (ausprobieren bei Problemen mit Umlauten)
------------------------------------------------------------------------------------------
Du solltest bei Deiner Konfiguration also die Dienste unter DMZ bei EXTERN eintragen.
Eine allgemeine Frage waere allerdings, da Du ja SAMBA/Netbios + NFS sowieso freigibst, und wenn Deine Maschine nicht direkt am Internet haengt, warum ueberhaupt den Paketfilter?
Besser waeren meiner Meinung nach:
/etc/hosts.allow + /etc/hosts.deny
/etc/samba/smb.conf + /etc/exports
und X mit der Option '-nolisten tcp' zu starten.
viel Erfolg
(aus dem Wochende zurueck)
in 'yast firewall' extern:SAMBA gewaehlt fuehrte zu:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns"
---------------------------------------------------------------------------------------------
alle Fehlermeldungen verschwanden mit:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="138 netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns 138"
(die zusaetzlichen '138' brauchte ich weil noch einige Maschinen hier nicht "Netbios ueber TCP" machen, was bei Dir natuerlich unnoetig sein koennte)
zusaetzlich war noetig 'yast sysconfig' >Netzwerk>Firewall:
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
und hilfreich ist in /etc/samba/smb.conf:
workgroup = Deine_Domaene
unix charset = ASCII/UTF8 (ausprobieren bei Problemen mit Umlauten)
------------------------------------------------------------------------------------------
Du solltest bei Deiner Konfiguration also die Dienste unter DMZ bei EXTERN eintragen.
Eine allgemeine Frage waere allerdings, da Du ja SAMBA/Netbios + NFS sowieso freigibst, und wenn Deine Maschine nicht direkt am Internet haengt, warum ueberhaupt den Paketfilter?
Besser waeren meiner Meinung nach:
/etc/hosts.allow + /etc/hosts.deny
/etc/samba/smb.conf + /etc/exports
und X mit der Option '-nolisten tcp' zu starten.
viel Erfolg
-
- Posts: 430
- Joined: 03. Mar 2006 23:16
Guten Abend,
Vielleicht ist es so einfacher zu verstehen:
In den Ausschnitt deiner Konfig steht
>-----------------------------------------------
>FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
>FW_DEV_DMZ=""
>...
>FW_SERVICES_EXT_TCP=""
>...
>FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
>FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
>...
>FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
>FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
>------------------------------------------------
das heisst: YAST setzt deine Netzwerkkarte als extern (DEV_EXT), die von Dir geplanten offenen Ports sind aber unter SERVICES_DMZ eingetragen.
Um das zu aendern verwendest Du
'yast firewall'.
In der dortigen Maske waehlst Du als Zone EXTERN
und waehlst dort den Dienst 'Samba' aus.
Jetzt nimmst Du
'yast sysconfig' (> Netzwerk > Firewall > Susefirewall2)
und setzt
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
Nun solltest Du auf das Windows-Netzwerk Zugriff haben.
Gute Nacht
Vielleicht ist es so einfacher zu verstehen:
In den Ausschnitt deiner Konfig steht
>-----------------------------------------------
>FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
>FW_DEV_DMZ=""
>...
>FW_SERVICES_EXT_TCP=""
>...
>FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
>FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
>...
>FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
>FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
>------------------------------------------------
das heisst: YAST setzt deine Netzwerkkarte als extern (DEV_EXT), die von Dir geplanten offenen Ports sind aber unter SERVICES_DMZ eingetragen.
Um das zu aendern verwendest Du
'yast firewall'.
In der dortigen Maske waehlst Du als Zone EXTERN
und waehlst dort den Dienst 'Samba' aus.
Jetzt nimmst Du
'yast sysconfig' (> Netzwerk > Firewall > Susefirewall2)
und setzt
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
Nun solltest Du auf das Windows-Netzwerk Zugriff haben.
Gute Nacht