Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Samba funkitioniert nur ohne Firewall

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 03. März 2006 19:17   Titel: Samba funkitioniert nur ohne Firewall

Hallo nochmal Wink

ich habe SuSE Linux 10.0 und da ist eine Firewall direkt dabei.
Nun habe ich ein Samba Client eingerichtet um an die anderen Rechner im Netzwerk (Windoof) dran zu kommen.
Aber wenn die Firewall aktiv ist kommt ich nie dran.
Es kommt immer die Meldung das die Firewall vom System die Funktion nicht zu lässt.
Dabei hab ich den Samba Client und Server zugelassen?

Was muss ich tun? Oder kann mir jemand eine bessere Firewall "verschreiben"? Smile

Gruß,
Dennis
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 04. März 2006 3:33   Titel:

Guten Morgen,


schau Dir bitte mal die Dateien /var/log/kern.log /var/log/messages an.
(wo Du halt Zeilen der Art
IN=~ OUT=~ MAC=~ ..........TCP/UDP.....
findest)
Wenn solche Zeilen nirgends stehen (root-Rechte!) schalte das Logging verworfener Pakete in YAST an.

Die interessanten LOG-Zeilen sollten an einem String wie "Yast-DROPPED" oder aehnlich erkennbar sein.
Hast Du die richtige LOG-Datei identifiziert oeffne eine root-Konsole und:
'tail -f /var/log/LOG-Datei | grep String'

Jetzt startest Du noch mal deine SAMBA-Versuche,
falls Du selbst damit nicht weiter kommst poste diese Zeilen hier zusaetzlich zur Firewall-Konfig-Datei aus /etc/sysconfig.


best greetings
 
Benutzer-Profile anzeigen Private Nachricht senden

Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 04. März 2006 5:18   Titel:

Zitat:
dhcppc4:/var/log # less kern.log
kern.log: No such file or directory


Meine messages Datei ist glaub ich eine Katastrophe... sie besteht nur aus den folgenden Zeilen:
Zitat:
Mar 4 05:19:57 linux kernel: ALSA sound/core/pcm_lib.c:158: BUG: stream = 1, pos = 0x1800, buffer size = 0x1800, period size = 0x800


Und bei dem tail Befehl:
Zitat:
dhcppc4:/home/dennis # tail -f /var/log/messages | grep String

dhcppc4:/home/dennis #


hmm was bedeutet das jetzt?
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 04. März 2006 12:17   Titel:

Guten Tag,

tschuldigung ob der Ungenauigkeit, habe jetzt selber nochmal nachgesehen (mind. ab SuSE 9.3):

Logging in /var/log/firewall
Konfig in /etc/sysconfig/SuSEfirewall2
Protokoll-Level: Yast: Sicherheit>firewall>Protokoll-Level:
Akzept.Pakete-NICHTS + Verworf.Pakete-ALLES


ciao
 
Benutzer-Profile anzeigen Private Nachricht senden

Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 04. März 2006 13:44   Titel:

Also die /var/log/firewall Logdatei hat 37 Zeilen.
Wollt die hier nicht posten deshalb hab ich sie in einer Textdatei hochgeladen.
Link zur Datei: http://87.106.1.80/dennis/firewall.txt

Die configdatei /etc/sysconfig/SuSEfirewall2: (ich hab die Kommentare # weg gemacht)

Zitat:
FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_MASQUERADE="no"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC="nlockmgr portmap status ypbind"
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

# #
#-------------------------------------------------------------------------#
# #
# EXPERT OPTIONS - all others please don't change these! #
# #
#-------------------------------------------------------------------------#
# #

FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="ipp netbios-ns netbios-dgm"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""


Zitat:
Protokoll-Level: Yast: Sicherheit>firewall>Protokoll-Level:
Akzept.Pakete-NICHTS + Verworf.Pakete-ALLES


Also ich kann nur einstellen:

"Akzeptierte Pakete protokollieren:
Nichts protokollieren (ausgewählt)
Nur kritische protokollieren
Alles protokollieren"

"Nicht akzeptierte Pakete protokollieren:
Nichts protokollieren
Nur kritische protokollieren
Alles protokollieren (ausgewählt)"

ist das so richtig?
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 04. März 2006 14:32   Titel:

hallo,


Du hast einige Services zur DMZ freigegeben,
Bist du selbst auch ein SAMBA-Server/Freigabe ?

nach dem Original-Post willst du als Client auf Freigaben im Netz zugreifen:
Probiere mal ein
'smbclient -L Netbios-Server-Name -U Domaene/Benutzer'
(ggf. noch mit '-I Netbios-Server-IP')

Dabei lass dann ein
'tail -f /var/log/firewall'
in einem Terminal mitlaufen


ciao
 
Benutzer-Profile anzeigen Private Nachricht senden

Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 04. März 2006 16:07   Titel:

Sorry, wenn ich das jetzt so sagen muss aber... ich versteh gerade nur noch Bahnhof Embarassed Sad

Ich habe eine Samba Freigabe.
Wenn "smbclient -L Netbios-Server-Name -U NW" eingebe (NW für die Domäne) dann kommt das die Verbindung zum NetBIOS Server-Name fehlgeschlagen ist.

Wofür ist tail?

Soll ich das alles machen mit aktivierter Firewall oder deaktivierter?

sorry. Embarassed Embarassed Embarassed
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 04. März 2006 16:42   Titel:

hallo ,

'tail' zeigt die letzten Zeilen einer Datei an.
'-f' (follow) sorgt fuer die Dauerbeobachtung um eintreffende Meldungen zu verfolgen.


zu "smbclient":
Es ist ein Tool um dir Windows- oder SAMBA-Freigeben anzuzeigen.

Bsp:
Deine Domaene heisst "homegrp".
Der Rechner(Server) mit der Freigabe in der Domaene heisst "rechner1".
Ein Benutzer der Domaene, der auf diese Freigabe zugreifen darf heisst "karlheinz".

Der Aufruf
'smbclient -L rechner1 -U homegrp/karlheinz'
zeigt dann nach Eingabe des Passworts von karlheinz eine Liste von Freigaben auf rechner1 mit einer Liste von Win/Samba-Rechnern im Netzwerk.
Das sollte so ohne Firewall funktionieren. (bitte keine Sonderzeichen oder Umlaute oder Leerzeichen in Rechnernamen/Benutzernamen/Passwort)

Die eingeschaltete Firewall sollte dann bei diesem Aufruf eine Reihe von Meldungen produzieren welch mit dem 'tail' verfolgt werden, und um diese Meldungen geht es.



ciao
 
Benutzer-Profile anzeigen Private Nachricht senden

Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 04. März 2006 21:07   Titel:

ok danke. mal wieder was gelernt.

also hier die Ausgaben:

smbclient (mit aktivierten Firewall):
Zitat:
dhcppc4:/home/dennis # smbclient -L winxp -U NW/Samba
Password:
Domain=[winxp] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

Sharename Type Comment
--------- ---- -------
E$ Disk Standardfreigabe
IPC$ IPC Remote-IPC
D$ Disk Standardfreigabe
print$ Disk Druckertreiber
Dennis Disk
G$ Disk Standardfreigabe
F$ Disk Standardfreigabe
Y$ Disk Standardfreigabe
ADMIN$ Disk Remoteadmin
Drucker Printer HP Drucker
C$ Disk Standardfreigabe
Domain=[winxp] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]

Server Comment
--------- -------

Workgroup Master
--------- -------


Vorher habe ich die firewall Logdatei geöffnet über tail...
Die ganzen Zeilen wurden seit Aufruf eingegeben:

Zitat:
dhcppc4:/home/dennis # tail -f /var/log/firewall
Feb 27 18:39:44 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=24053 PROTO=UDP SPT=137 DPT=1104 LEN=82
Mar 4 21:05:12 linux kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.1.37 DST=213.239.211.178 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=45392 DF PROTO=TCP SPT=37084 DPT=80 WINDOW=4352 RES=0x00 ACK FIN URGP=0 OPT (0101080A00026B450E7D4265)
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=44345 PROTO=UDP SPT=137 DPT=1025 LEN=82
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:36 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:ae:ea:fc:00:13:d4:57:c9:fc:08:00 SRC=192.168.1.33 DST=192.168.1.37 LEN=102 TOS=0x00 PREC=0x00 TTL=128 ID=44359 PROTO=UDP SPT=137 DPT=1025 LEN=82
Mar 4 21:05:37 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=2 DF PROTO=UDP SPT=1025 DPT=137 LEN=58
Mar 4 21:05:57 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=5 DF PROTO=UDP SPT=138 DPT=138 LEN=228
Mar 4 21:06:17 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=218 TOS=0x00 PREC=0x00 TTL=64 ID=8 DF PROTO=UDP SPT=138 DPT=138 LEN=198
Mar 4 21:06:41 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.1.37 DST=192.168.1.255 LEN=248 TOS=0x00 PREC=0x00 TTL=64 ID=12 DF PROTO=UDP SPT=138 DPT=138 LEN=228



Wenn ich bei aktivierter Firewall aber über den Konqueror auf das Samba Netzwerk zugreife kommt das keine Netzwerke gefunden wurden und das es an der aktiven Firewall liegt.
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 06. März 2006 6:37   Titel:

hallo Dennis_S,
(aus dem Wochende zurueck)

in 'yast firewall' extern:SAMBA gewaehlt fuehrte zu:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns"

---------------------------------------------------------------------------------------------
alle Fehlermeldungen verschwanden mit:
FW_SERVICES_EXT_TCP="microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="138 netbios-ns"
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns 138"
(die zusaetzlichen '138' brauchte ich weil noch einige Maschinen hier nicht "Netbios ueber TCP" machen, was bei Dir natuerlich unnoetig sein koennte)

zusaetzlich war noetig 'yast sysconfig' >Netzwerk>Firewall:
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

und hilfreich ist in /etc/samba/smb.conf:
workgroup = Deine_Domaene
unix charset = ASCII/UTF8 (ausprobieren bei Problemen mit Umlauten)
------------------------------------------------------------------------------------------

Du solltest bei Deiner Konfiguration also die Dienste unter DMZ bei EXTERN eintragen.
Eine allgemeine Frage waere allerdings, da Du ja SAMBA/Netbios + NFS sowieso freigibst, und wenn Deine Maschine nicht direkt am Internet haengt, warum ueberhaupt den Paketfilter?
Besser waeren meiner Meinung nach:
/etc/hosts.allow + /etc/hosts.deny
/etc/samba/smb.conf + /etc/exports
und X mit der Option '-nolisten tcp' zu starten.


viel Erfolg
 
Benutzer-Profile anzeigen Private Nachricht senden

Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 06. März 2006 21:40   Titel:

Ich hab keine Ahnung wovon du redest... Sorry Sad
Ich werd morgen glaub ich mal einen Kollegen fragen ob er weiß wie er es anstellen würde. Embarassed

Ich bedanke mich trotzdem sehr herzlich für deine hilfsbereitschaft Wink
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 07. März 2006 0:34   Titel:

Guten Abend,


Vielleicht ist es so einfacher zu verstehen:

In den Ausschnitt deiner Konfig steht
>-----------------------------------------------
>FW_DEV_EXT="any eth-id-00:0c:29:ae:ea:fc"
>FW_DEV_DMZ=""
>...
>FW_SERVICES_EXT_TCP=""
>...
>FW_SERVICES_DMZ_TCP="epmap microsoft-ds netbios-ssn"
>FW_SERVICES_DMZ_UDP="bootpc ipp netbios-dgm netbios-ns"
>...
>FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
>FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
>------------------------------------------------

das heisst: YAST setzt deine Netzwerkkarte als extern (DEV_EXT), die von Dir geplanten offenen Ports sind aber unter SERVICES_DMZ eingetragen.
Um das zu aendern verwendest Du
'yast firewall'.
In der dortigen Maske waehlst Du als Zone EXTERN
und waehlst dort den Dienst 'Samba' aus.
Jetzt nimmst Du
'yast sysconfig' (> Netzwerk > Firewall > Susefirewall2)
und setzt
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

Nun solltest Du auf das Windows-Netzwerk Zugriff haben.


Gute Nacht
 
Benutzer-Profile anzeigen Private Nachricht senden

Dennis_S



Anmeldungsdatum: 03.03.2006
Beiträge: 23

BeitragVerfasst am: 07. März 2006 20:21   Titel:

Hmm okay, habs gemacht.
Unter "Erlaubte Dienste" war allerdings nur Samba-Server.
Hab trotzdem sonst alles so gemacht und das Ergebnis ist das es endlich funktioniert ...

Danke Very Happy Smile Cool

Vielen dank für deine hilfe und die Geduld!
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy