Hallo,
ich habe 2 Rechner mit Suse 9.3 installiert. Der eine läuft als Samba-Server, mit dem anderen möchte ich mit dem Samba-Client auf den Server zugreifen.

Dies gelingt mir aber nur, wenn ich die Firewall auf dem Client deaktiviere. Dann ist alles ok. Aktiviere ich die Firewall, bekomme ich einen Fehler, dass keine Arbeitsgruppen gefunden werden können (ich benutze dabei den Netzwerkbrowser und dort das SMB-Icon).

In /var/log/firewall bekomme ich einen Eintrag auf UDP 137. Daraufhin habe ich folgende Ports in der Firewall des Client-PCs geöffnet:

UDP 137 138
TCP 139 445

Dies half auch nicht.

Wie bekomme ich Samba mit aktivierter Firewall ans fliegen?

Gruß,
Mark

Hi,

hast du auf dem Samba Server auch eine Firewall laufen? Wenn ja, musst du dort die Ports für Zugriffe von außen öffnen.

Ansonsten würde ich auf dem Client und Server das Debug Level erhöhen und einfach mal in den Logs schauen was so beim Samba Daemon ankommt bzw. wo die Firewall anspringt und blockt.

Muss denn die Firewall im internen Netz laufen?

Hi,

hast du in der Firewall die Option FW_LOG_DROP_ALL auf yes gesetzt?
Sonst werden nur kritische Pakete geloggt.

MfG
Jockelicke

Hi,

@bangaltar
Die Firewall des Servers kann ich ab und anschalten, das macht keinen Unterschied. Auf dem Server hatte ich Samba freigegeben. Wie gesagt, das hängt alleine an der Clientfirewall. Und die möchte ich benutzen, da ich an einem DSL-Router mit der Netzwerkkarte hänge.

@jockelicke:
Die Option FW_LOG_DROP_ALL habe ich nun auf yes gesetzt.
Wenn ich nun wieder mit dem Netzwerkbrowser auf SMB zugreife, erhalte ich wieder die Fehlermeldung "Keine Arbeitsgruppen im lokalen Netz auffindbar". Folgendes ist dann in /var/log/firewall zu sehen:

Jan 5 12:55:14 duron kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:a5:ca:7c:00:50:56:c0:00:08:08:00 SRC=192.168.1.1 DST=192.168.1.11 LEN=96 TOS=0x00 PREC=0x00 TTL=128 ID=20133 PROTO=UDP SPT=137 DPT=1026 LEN=76
Jan 5 12:55:14 duron kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:a5:ca:7c:00:0c:29:22:e5:17:08:00 SRC=192.168.1.10 DST=192.168.1.11 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=35 DF PROTO=UDP SPT=137 DPT=1026 LEN=70
Jan 5 12:55:14 duron kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:a5:ca:7c:00:50:56:c0:00:08:08:00 SRC=192.168.1.1 DST=192.168.1.11 LEN=96 TOS=0x00 PREC=0x00 TTL=128 ID=20184 PROTO=UDP SPT=137 DPT=1026 LEN=76
Jan 5 12:55:14 duron kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:a5:ca:7c:00:0c:29:22:e5:17:08:00 SRC=192.168.1.10 DST=192.168.1.11 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=36 DF PROTO=UDP SPT=137 DPT=1026 LEN=70
Jan 5 12:55:14 duron kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0c:29:a5:ca:7c:00:50:56:c0:00:08:08:00 SRC=192.168.1.1 DST=192.168.1.11 LEN=96 TOS=0x00 PREC=0x00 TTL=128 ID=20237 PROTO=UDP SPT=137 DPT=1026 LEN=76

Der Client hat die IP-Adresse 192.168.1.11, der Server die Adresse 192.168.1.10.

Gruß,
Mark

Hi,

da ist der Port 137 UDP gesperrt, mach den mal auf.

Es gibt in der Firewall auch die Option: FW_SERVICE_SAMBA, ist die auf yes gesetzt?

MfG
Jockelicke

Arbeitest du mit 2x Netzwerkkarten?
Wenn das so ist, würde ich den folgenden Parameter auf no setzten:

FW_PROTECT_FROM_INT="no"
Dann schaltest du die Firewallregeln für den internen Bereich ab.

Ansonsten siehe Antwort von "jockelicke"

Hallo,

der Port war schon auf. Auszug aus der Firewallkonfiguration:
FW_SERVICES_EXT_TCP="139 445"
FW_SERVICES_EXT_UDP="137 138"

Die Optioin FW_SERVICE_SAMBA gibt es bei mir nicht, allerdings konnte ich die Firewall grafisch konfigurieren und da gab es einen Punkt Samba Server. Den habe ich auch mal benutzt, half leider auch nicht.

Gruß,
Mark

Hi,

setz doch mal zum testen unter FW_SERVICES_EXT_UDP="137 138 139 445" und FW_SERVICES_EXT_TCP="137 138 139 445"

und poste mal deine SUSE-firewall2 Config Datei liegt unter /etc/sysconfig/ wenn das auch nicht geholfen hat.

Hi,

poste doch mal die Zeilen:
FW_DEV_EXT
FW_DEV_INT
aus der Susefirewall2.

Und mach mal testweise den udp port 1026 am client auf, ich hab mich da vorher verguckt.
Allerdings weiss ich nicht, warum Samba nach port 1026 fragt.

MfG
Jockelicke

Hallo,
ich habe beide Tips ausprobiert - leider ohne Erfolg. Ich habe meine SuSEFirewall-Config-Datei um die Kommentare reduziert und hier eingefügt:

##############################################

FW_DEV_EXT="eth-id-00:0c:29:a5:ca:7c eth-id-00:0c:29:b2:49:b8"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="137 138 139 445 1026 microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="137 138 139 445 1026 netbios-ns"
FW_SERVICES_SAMBA="yes"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns"
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""

#############################################

Gruß,
Mark

Hi,
du hast also 2 Netzwerkkarten, richtig?
Wie sind die eingerichtet, einmal Internet und einmal "Samba-netz"?

MfG
Jockelicke

Hallo,
nein, ich habe nur eine Netzwerkkarte drin. eth0. Deshalb kann ich auch die Firewall für Samba nicht abschalten, da sonst auch die Firewall für das Internet nicht aktiv wäre.

Gruß,
Mark

Wie gehst du ins Internet? Über PPPoE? Solange eth0 nicht dein Internet-Interface ist, also quasi die IP deines ISPs hat, ist das recht entspannt. Ich würde mir mehr sorgen um ppp0 machen. Über dieses Interface gehen die Daten nach der Providereinwahl rein und raus, nicht eth0. Für Samba musst du folgende Ports öffnen:

UDP/137
UDP/138
TCP/139
TCP/445

Du solltest zusätzlich Samba noch mitteilen das er auch wirklich nur auf lo und eth0 horchen soll, und welche Hosts überhaupt zugreifen dürfen.

interfaces = eth0 lo
bind interfaces only = yes

hosts allow = 127.0.0.1 <deinSubnet (z.B.192.168.20.0/24)>
hosts deny = 0.0.0.0/0

Hi,

habe das gerade mal schnell ausprobiert was du gemacht hast.
1 Rechner mit 1x Netzwerkkarte, SuSE Firewall, eth0 als externes Device und die Ports 137 138 139 für UDP TCP extern Freigegeben.

Zugriff auf Samba Shares über das eth0 rennt bei mir auf anhieb!
Dein Problem muss irgendwo anders noch liegen.

Wie bla!zilla schon gefragt hat, wie gehst du ins Internet? über pppoe über eth0? Wenn ja würde ich das mal ausschalten und dann schauen ob es funktioniert...

Hallo,
ich habe einen einen Router, in dem ich die Zugangsdaten meines Internetproviders gespeichert habe. Ich nutze also weder PPP0 noch PPPoE.

Ich kann erst am Montag wieder die Tips zur Konfiguration der Firewall ausprobieren. Ich werde dann hier wieder neue Informationen bringen bzw. Fragen stellen.

Viele Grüße,
Mark

Wenn du doch über einen Router gehst, wozu die Firewall? In deinem Fall ist sie eher hinderlich als nützlich und ohne entsprechende Portforwardings auf dem Router kann niemand auf deinen Server zugreifen.

Hi,

bist du sicher, daß die Netzwerkkarte eth0 ist?
In deiner Firewallconfig stehen 2 Karten drin:
FW_DEV_EXT="eth-id-00:0c:29:a5:ca:7c eth-id-00:0c:29:b2:49:b8"
Dann muß da eth0 rein.

MfG
Jockelicke

In deiner Firewallconfig stehen 2 Karten drin:
FW_DEV_EXT="eth-id-00:0c:29:a5:ca:7c eth-id-00:0c:29:b2:49:b8"
Dann muß da eth0 rein.


Nicht zwingend, sofern eine der dort eingetragenen Karten auch wirklich eth0 ist.

Hallo,
die Firewall möchte ich trotz Router aktiviert lassen, da ich z.B. für eDonkey Ports geöffnet habe (ich habe da noch nen Rechner, der sich mit nem bekannten und hier nicht geliebten Betriebssystem rumquält).

Aber ich fand alles sehr merkwürdig, z.B. dass in der Firewall 2 Mac-Adressen drinstanden und ich definitiv nur eine Netzwerkkarte besitze. Ich habe eben beide Rechner neu installiert - und es geht.

Euch einen großen Dank für die Mühe! Es hat mir sehr weitergeholfen, denn so konnte ich ein bischen über diverse Einstellungen lernen.

Viele Grüße,
Mark

Na ja, ist ja schön das es mit einer Neuinstallation geklappt hat, aber man hätte es sicherlich auch anders lösen können.