PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : samba + susefirewall2



SinniS
08.05.03, 00:29
hi,
mein problem: ich bekomme samba mit suse firewall 2 unter suse 8.0 nicht zum laufen.
wenn ich die fw deaktiviere läuft samba wunderbar, daran kann es also nicht liegen. sobald ich die fw jedoch aktiviere (zum routing, was auch klappt) kann ich von meinen win2k pcs nicht mehr auf die shares zugreifen, der pc erscheint auch nicht mehr in der netzwerkumgebung. in der SuSEfirewall2.conf habe ich sowohl
FW_PROTECT_FROM_INTERNAL als auch
FW_AUTOPROTECT_SERVICES = "no" und
FW_SERVICE_AUTODETECT sowie
FW_SERVICE_SAMBA = "yes" gesetzt.
woran könnte das liegen, squid läuft ohne probleme?
bin dankbar für jede hilfe, da ich zwar hoffentlich nicht blöd bin aber grad erst mit linux angefangen habe... ;-)

grüße und dank

ThyMaster
08.05.03, 09:33
sieht soweit ok aus.

Aber:
Erkennt der Linux PC deine Windows PCs auch als Rechner aus dem _internen_ Netzwerk.Irgendwie werde ich den Verdacht nicht los, dass die Windows PCs sich für den Linux PC "ausserhalb" befinden.

Überprüf doch mal, welche Netzwerkverbindungen an der Firewall hängen.

Gruß
Falko

neurot
09.05.03, 20:55
Erscheint beim starten von der Firewall eine Meldung wie
"You still have to allow tcp port 139 on internal, dmz and/or external" ?
Wenn ja, dann unbedingt tcp port 139 bei der Konfiguration einstellen, sonst geht da gar nix.
Fürs CIFS-Protokoll müssen die Ports 137-139, jeweils tcp und udp auch in der /etc/services auskommentiert sein (am Anfang der Zeile darf kein '#' stehen). Und auch in der Firewall die Ports 137-139 freigeben.
Achtung! Die Firewall sollte nur die externe Schnittstelle schützen. Schalte die Ports auf gar keinen Fall auf dem externen Interface frei, weil sonst könnte man ja von außen drauf.

Fragmaster
12.05.03, 13:08
Ich habe genau das selbe Problem!!! Ich weiß auch nicht weiter, die Firewall-Log spuckt auch keine Fehler.

Kann keiner helfen??? :rolleyes:

steve-e
01.05.04, 11:40
Hi,
auch bei mir gibt es Probleme mit Samba und der Susefirewall2. Samba fuktioniert mit abgeschalteter Firewall ohne Probleme, aktiviere ich diese jedoch ist kein Zugriff auf meine Freigaben mehr Möglich.



FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="yes"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="139"
FW_SERVICES_EXT_UDP="137 138"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"



Hab ich evtl einen Fehler in der Konfiguration?

mfg Steve und schonmal Danke für jede Hilfe :-)

Stormbringer
01.05.04, 11:57
Möchtest Du das wirklich?


FW_SERVICES_EXT_TCP="139"
FW_SERVICES_EXT_UDP="137 138"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""

Damit sperrst Du den Zugriff auf samba für Dein internes Netz, und öffnest samba zum externen Netz hin ...
*_EXT_* = externes Netz
*_INT_* = internes Netz

Gruß

steve-e
01.05.04, 17:41
Ich hab nur eine Netzwerkkarte in meinem PC, da ich nicht als Router oder sonstiges fungiere sondern nur ein Client hinter einem Hardwarerouter bin.

eth0 ist bei meinem PC das externe Netz, die interne Schnitstelle ist nicht belegt.


öffnest samba zum externen Netz hin
tja wenn das wenigstens funktionieren würde ....

Stormbringer
02.05.04, 07:10
Hi,

selbst ohne zweite NIC, ohne Anbindung ans INet, oder sonstige Netze, bleibt die Unterschied:
_INT_ = internes Netz (oder lokales Netzwerk)
_EXT_ = externes Netz (Inet, MAN, WAN, oder ähnliches)

Wenn Du es umstellst, und sowohl smb als auch nmbd neu startest, sollte es eigentlich funzen.

Hier mal eine funktionierende SuSEfirewall2 (von einem Testsystem):


# Copyright (c) 2000-2002 SuSE GmbH Nuernberg, Germany. All rights reserved.
#
# /etc/sysconfig/SuSEfirewall2
#
# for use with /sbin/SuSEfirewall2 version 3.1 which is for 2.4 kernels!
#
# ------------------------------------------------------------------------ #
#
FW_QUICKMODE="no"
FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="www ftp smtp ssh 21 25 53 80 256 264 389 443 554 2703 3000 5000 5001 5050 5100 5190:5193 18207 18231"
FW_SERVICES_EXT_UDP="syslog domain 50 259 500 2746 4000 5000:5010 5190:5193 18234"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="www ftp smtp domain ssh 20 21 22 25 53 80 119 139 161 256 264 389 443 631 2703 4559 5000 5001 5050 5100 5190:5193 12345 18207 18231"
FW_SERVICES_INT_UDP="domain syslog 50 259 500 2746 4000 4559 5000:5010 5190:5193 18234"
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="domain"
FW_SERVICE_AUTODETECT="yes" # Autodetect the services below when starting
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="yes"
FW_SERVICE_SAMBA="yes"
FW_FORWARD="" # Beware to use this!
FW_FORWARD_MASQ="" # Beware to use this!
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV="ppp0,125"

Gruß

steve-e
02.05.04, 08:31
morgen :-)


selbst ohne zweite NIC, ohne Anbindung ans INet, oder sonstige Netze, bleibt die Unterschied:
_INT_ = internes Netz (oder lokales Netzwerk)
_EXT_ = externes Netz (Inet, MAN, WAN, oder ähnliches)

Wieso sollte da ein Unterschied bestehen? Ich vermute jetzt einfach mal, dass kein elementarer Unterschied zwischen "int" und ext" besteht, diese also auch einfach dev1 und dev2 heißen könnten. Der PC besitzt nur eine Verbindung nach außen, das ist eth0. Was sollte es mir also bringen z.B ppp0 zusätzlich einzutragen?



Dann ist mir noch etwas bei ihrer Konfig aufgefallen. Sie haben diese Ports fürs interne Netz freigegeben.

FW_SERVICES_INT_TCP="www ftp smtp domain ssh 20 21 22 25 53 80 119 139 161 256 264 389 443 631 2703 4559 5000 5001 5050 5100 5190:5193 12345 18207 18231"
FW_SERVICES_INT_UDP="domain syslog 50 259 500 2746 4000 4559 5000:5010 5190:5193 18234"
Doch für was sind diese Ports geöffnet, wenn sie mit einer andere Option sowieso den gesamten internen Verkehr ungefiltert lassen.

FW_PROTECT_FROM_INTERNAL="no"

Stormbringer
02.05.04, 08:52
Hi,

ppp0 soll selbstredend nicht zusätzlich eingetragen werden ... warum auch?
Wie ich schon schrieb, ist die von mir dargestellte Config lediglich ein Beispiel von einem existierenden Testsystem - und offenbar habe ich, oder ein Kollege, im Rahmen eines Tests der letzten Tage die Option FW_PROTECT_FROM_INTERNAL="no" nicht zurückgesetzt.

Bzgl. der Interfaces:
der Unterschied liegt in den Regeln pro Interface.
Zumindest auf einem Testsystem (SuSE 7.3), auf welches ich hier am WE Zugriff habe, existiert ein elementarer Unterschied ziwschen:
FW_DEV_EXT=""
FW_DEV_INT=""
Vertausche ich hier die (laufenden) Einstellungen _INT zu _EXT, so funzt eine samba Nutzung nicht mehr - daher meine Annahme, daß dem auch bei späteren Versionen so ist.

Was steht eigentlich in der Logdatei bzgl. der Zugriffe?
Wenn es keine Verbindung gibt, und die FW2 läuft, sollte es dort ja Einträge geben ...

Gruß

steve-e
02.05.04, 21:27
Ich werds mal ausprobieren....

geänderte Einstellungen:


FW_DEV_EXT=""
FW_DEV_INT="eth0"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""


Geht leider nicht ->

tarting Firewall Initialization (phase 3 of 3)
The Firewall script needs to know the external (internet) interface.
Set FW_DEV_EXT in /etc/sysconfig/SuSEfirewall2SuSEfirewall2: clearing rules now ... done
unused


hab einfach mal unsinniger Weise bei EXT ppp1 eingetragen .... :ugly: jetzt funktionierts ... glaub ich ;-)

malocher
20.05.04, 13:25
Hallo
Ich habe auch das Problem.
Allerdings sehe ich noch nicht genau wo hier die Lösung liegt.
Wenn TCP Port 139 freigeschaltet ist kann man auf Samba zugreifen,
allerdings nur über die IP.
Wie sollte die Config ausehen wenn die Freigabe als User eingestellt ist ?

Malocher