PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Cups nur im lokalen Lan erreichbar



Dellerium
28.08.07, 16:10
So.. nachdem ich jetzt 6 Stunden damit verschwendet habe Cups zum laufen zu bekomme frage ich mal lieber hier im Forum nach - vielleicht kennt ja jemand das Problem. Die Suchmaschinen warne jedenfalls nicht hilfreich. :mad:

Ich habe hier einen SLES9 (SP2) Server auf dem Cups installiert ist. Cups ansich läuft auch. Nur möchte ich gerne das Webinterface nutzen können. (Zur Auswertung, Administration, etc) Unser Netz besteht aus einem Lan und diversen Subnetzen (in Aussenstellen) die via VPN angebunden sind.

Mein Problem: http://ip_des_servers:631 lässt sich nur aus dem Lan aufrufen. In sämtlichen Aussenstellen wird die Verbindung von Cups abgelehnt. Folgendes ist dann im Log zu finden:



d [28/Aug/2007:15:00:57 +0200] AcceptClient(lis=0x53cfd8) 2 NumClients = 0
D [28/Aug/2007:15:00:57 +0200] AcceptClient(): Refused connection from from Iridium.dec.lan
d [28/Aug/2007:15:00:59 +0200] AcceptClient(lis=0x53cfd8) 2 NumClients = 0
D [28/Aug/2007:15:00:59 +0200] AcceptClient(): Refused connection from from Iridium.dec.lan


Der Zugriff auf die betreffenden Cups Seiten ist für jeden Client freigeschaltet (zu Testzwecken) - dennoch weigert sich Cups standhaft die Zugriffe zuzulassen. Weis der Geier was Suse da in seiner Patchwut wieder verfrickelt hat.

pibi
28.08.07, 16:35
Mein Problem: http://ip_des_servers:631 lässt sich nur aus dem Lan aufrufen. In sämtlichen Aussenstellen wird die Verbindung von Cups abgelehnt.Nanana! Soo schlimm ist die SuSI nun auch wieder nicht;-)

Was genau geht nicht? Das Drucken von der Aussenstelle oder die Administration? Wie sieht das cupsd.conf aus? Speziell die Zugriffsrechte "Location /" und "Location /admin".

Und bei mir klappt zB. die Zuweisung der Rechte via Namen nicht entgegen der Beschreibung im Manual, ich muss explicit die IP-Adressen bzw. -Ranges angeben.

Gruss Pit.

Dellerium
29.08.07, 08:55
Nanana! Soo schlimm ist die SuSI nun auch wieder nicht;-)

Das sage ich auch immer - bis die Server wieder Ärger machen ;)




Was genau geht nicht? Das Drucken von der Aussenstelle oder die Administration? Wie sieht das cupsd.conf aus? Speziell die Zugriffsrechte "Location /" und "Location /admin".

Und bei mir klappt zB. die Zuweisung der Rechte via Namen nicht entgegen der Beschreibung im Manual, ich muss explicit die IP-Adressen bzw. -Ranges angeben.

Gruss Pit.

Drucken, und Administration funktionieren - das Drucken auch aus allen Subnetzen. Nur die Webadministration funktioniert nicht aus den Subnetzen heraus.
Laut cupsd.conf sind die entsprechenden Location erlaubt (Allow From All, Deny From All)
Normalerweise müsste ja zumindest eine Seite erscheinen, die mich darüber informiert, dass der Zugriff verweigert wurde - egal was für Rechte vergeben wurden, das _muss_ erscheinen.
Aber das einzige was Cups meldet, ist, dass der Zugriff verweigert wurde - und auch das nur im Logfile wenn der Debug Level auf das Maximum gesetzt wird. Der Zugriff via Webinterface wird von Cups sofort abgebrochen...
tcpdump zeigt zwar übertragene Pakete an, allerdings nur wenig mehr als einen 3-way Handshake...

pibi
29.08.07, 09:27
Laut cupsd.conf sind die entsprechenden Location erlaubt (Allow From All, Deny From All)Was nun? "Allow from all" oder "deny from all"? Poste doch bitte mal den Output von
sudo egrep -v "^#|^$" /etc/cups/cupsd.conf

Gruss Pit.

PS: Den Einfluss irgendwelcher Firewalls und/oder Filter kannst Du ausschliessen?

Dellerium
29.08.07, 14:15
IPTables ist nicht aktiv - alle Policies auf accept. Zwischen den Netzten gib es Firewalls, allerdings sind die Ports zwischen meinem Netz und dem Lan freigeschaltet. Das kann ich ausschliesen.

Im Log sowie mit tcpdump ist auch Traffic erkennbar - laut log bricht cups ja selber die Übertragung ab. (refused)



ServerName Janis.pla.lan
ServerAdmin Systemmanagement@pla.lan
LogLevel info
Printcap /etc/cups/printcap
User lp
Group lp
RunAsUser Yes
Port 631
BrowseAllow @LOCAL
BrowseDeny All
<Location />
Order Deny,Allow
Allow From All
Deny From ALL
</Location>
<Location /admin>
AuthType BasicDigest
AuthClass Group
AuthGroupName sys

Order Deny,Allow
Deny From All
Allow From All
</Location>
Browsing On


Das Deny und Allow beide aus All stehen sollte nichts machen. Die Regel besagt ja, das Deny angewandt wird, die Allow Regeln das aber überschreibt. Eigentlich steht dort also: Verweigere per Vorgabe erstmal alles, lass aber alle zu.
(Suse gibt das selber in der SupportDB so an)

Ich habe auch bereits meine Netzte alle einzeln eingetragen - das bringt nichts. Cups verweigert weiterhin den Zugriff noch bevor überhaupt eine Webseite ausgeliefert wird.

Einzig



d [28/Aug/2007:15:00:57 +0200] AcceptClient(lis=0x53cfd8) 2 NumClients = 0
D [28/Aug/2007:15:00:57 +0200] AcceptClient(): Refused connection from from Iridium.ext.pla.lan

taucht im Log auf...

pibi
30.08.07, 09:22
Eine schlaue Idee habe ich jetzt auch nicht mehr. Ich vermute das Problem aber ...
Zwischen den Netzten gib es Firewalls, allerdings sind die Ports zwischen meinem Netz und dem Lan freigeschaltet. Das kann ich ausschliesen.... trotzdem hier. Kannst Du mal testhalber ALLES in den Firewalls ausschalten bzw. alle Protokolle und Ports erlauben?

Gruss Pit.

Tosog
30.08.07, 09:42
Meiner Meinung nach liegts an
BrowseAllow @LOCAL
BrowseDeny All(http://www.cups.org/doc-1.1/sam.html#BrowseAllow)

entweder änderst du es also auf:

BrowseAllow All
# BrowseDeny All
und regelst den Zugriff per firewall,

oder du fügst deine subnets ein:

BrowseAllow @LOCAL
BrowseAllow 192.168.0.0/24
BrowseAllow 192.168.1.0/24
BrowseAllow 10.0.8.0/24
BrowseDeny All
subnets sind jetzt natürlich frei erfunden, du musst deine eigenen eintragen

edit:
die "Deny From ALL" in den <Location> Tags musst du natürlich auch raus tun

Dellerium
30.08.07, 10:38
Eine schlaue Idee habe ich jetzt auch nicht mehr. Ich vermute das Problem aber ...... trotzdem hier. Kannst Du mal testhalber ALLES in den Firewalls ausschalten bzw. alle Protokolle und Ports erlauben?

Gruss Pit.

Das geht nicht - der Server ist im Unternehmenseinsatz und die Firewall zu deaktiveren verträgt sicht nicht mit unserer Security Policy ;)


Das Problem ist jetzt aber gelöst - Ein Dankeschön an euch beide.

Das Problem lag in der Tat - wie Tosog vermutet hat - an BrowseAllow. Ich habe es auf All gesetzt und dann funktionierte es.

Ich versteh zwar nicht ganz wieso - ich ging eigentlich davon aus, dass das nur die Location festlegen, wer auf das Webinteface zugreifen darf - aber der Zugriff ist jetzt Problemlos möglich.