[ Gelöst ] Multicast Bereich 244.0.0.1 in SuSE-Firewall2 ? :

revealed · 24 Mai 2009

Hallo!

Falls das doch eher zu SAMBA gehört bitte ich um Nachsicht. Die Frage die Ich habe bezieht sich Hauptsächlich auf die 244.0.0.1 und Firewall;

Aus gegebenem Anlass: (Erkläre erstmal den aufbau):

Ein PC Mit OpenSuSE 11.1 als Hostsystem. 192.168.0.2 -> 255.255.255.0
Auf diesem PC läuft als Gast: Windows XP Prof. 192.168.0.5 -> 255.255.255.0

Es steht noch ein Router im Netz: 192.168.0.1 -> 255.255.255.0; Dieser fungiert als DHCP und bietet zusätzlich DNS Dienste; Neben einem caching only named auf localhost und der lmhosts für nmbd

Ich hoffe ich gebe da grad keine Anleitung, wie man momentan schön einfach in mein LAN reinkommt. Ich hoffe auch ich bin kein Ziel für sowas.

(Gast und Host nutzen eine Netzwerkkarte für den Internetzugriff. Dies wird in der Externen Zone gefasst.)

Weil ich einfach SAMBA konfigurieren möchte, damit ich verstehe wie das funktioniert habe ich SAMBA auf dem Host System eingerichtet. Ein Share erstellt. Freigabe erfolgt auf Basis ( SHARE ) so ist keine Anmeldung nötig. Auch einfache Dateifreigabe genannt.

In der SuSE Firewall2 habe ich folgendes: (relevantes)

Code:

Externe Zone:
Samba Client
Samba Server

Bei Erweitert habe ich noch zusätzlich:

Code:

TCP: 135 netbios-ns
UPD: microsoft-ds netbios-ssn

Achtung ich habe noch etwas in /etc/sysconfig bei Firewall:
FW_SERVICES_EXT_TCP:

Code:

135 139 445 netbios-ns

FW_SERVICES_EXT_UDP:

Code:

137 138 microsoft-ds netbios-ssn

FW_SERVICES_AACCEPT_RELATED_EXT

Code:

192.168.0.0/24,udp,137 0/0,udp,137 244.0.0.1/4,udp,137

FW_LOAD_MODULES

Code:

nf_conntrack_netbios_ns

Dann weiter bei Broadcast habe ich:

Code:

Externe Zone -> Samba browsing -> Subnetz: 192.168.0.0/24
Externe Zone -> Samba browsing -> Alle Netzwerke
Externe Zone -> Samba browsing -> Subnetz: 244.0.0.1/4

Und zwar habe ich die Letzte sache also dieses hier:

Code:

Externe Zone -> Samba browsing -> Subnetz: 244.0.0.1/4

Eingetragen weil immer das Problem bestand, dass sich das Gastsystem und das Hostsystem nicht gegenseitig sehen konnten, solange die SuSE-Firewall2 aktiv war. Sobald ich die Firewall beendet hatte, sahen sich beide Systeme.

Warum ich die Zeile so hinzugefügt habe: (Ich GESTEHE UNWISSENHEIT!!°!):
Wenn ich mit Dolphin also meine SMB Freigaben anzeigen lassen wollte kam immer eine Fehlermeldung, dass eine Firewall aktiv sei. Wo ich doch zunächst mal alle Varianten an Ports freigegeben hatte die diverse Tutorials hergaben. 445 139 138 137 135 usw. diese sind auch entsprechend dokumentiert, darauf gehe ich nicht weiter ein.

Jedenfalls habe ich mehrmals eben gedrückt und mir die Freigaben anzuzeigen versucht... Ich dachte so im LOG /var/log/firewall das Problem erkennen zu können.

Also:

Code:

grep DROP /var/log/firewall

Ergebnis: (MAC Adressen mache ich unkenntlich!)

Code:

May 24 01:38:58 wild-thing kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=0X:0X:XX:0X:0X:0X:0X:XX:XX:XX:XX:XX:XX:XX SRC=192.168.0.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=93 DF OPT (94040000) PROTO=2

Viele dieser Zeilen. Dann habe ich gelesen, ~ ~ dass die 244.0.0.1 Multicastadresse für alle Geräte im Subnetz sei. ?
~ ~ Und dass 244.0.0.2 Multicastadresse für spezielle router sei.

Jetzt dachte ich mir, das kann fast nur von der HostInterfacegeschichte herrühren, dass das VirtualBox Networking irgendwie dieses Netz verwendet. Daraufhin habe ich dieses eben so eingetragen:

Code:

Externe Zone -> Samba browsing -> Subnetz: 244.0.0.1/4

Und siehe Da! Endlich GEHT ES! Gast sieht Host SAMBA + sich selbst bei aktivierter Firewall und andersrum + sich selbst --> Ohne Stress

Meine Frage ist:
Hab ich mir da ein Sicherheitsloch in die Firewall gerissen, über das jemand böswillig angreifen könnte. Oder ist das garkein Problem, wenn ich das so eingetragen habe? Sollte ich das wieder schleunigst rausmachen und mir was anderes überlegen? Das macht mir sorgen, weil ich nicht so der übermäßige Firewallchecker bin.

Vielen Dank! Falls mir jemand diese Frage bitte beantworten kann!

Grüße,

R

Tooltime · 25 Mai 2009

revealed schrieb:
Meine Frage ist:
Hab ich mir da ein Sicherheitsloch in die Firewall gerissen, über das jemand böswillig angreifen könnte. Oder ist das garkein Problem, wenn ich das so eingetragen habe? Sollte ich das wieder schleunigst rausmachen und mir was anderes überlegen? Das macht mir sorgen, weil ich nicht so der übermäßige Firewallchecker bin.

Ich ehrlich gesagt auch nicht, habe gerade deine Kommentare im Samba-Thread gelesen und dachte mir ich schau mir das mal an. Also in deinen Regeln ist wirklich einiges sehr merkwürdig, nur so als Beispiel:

revealed schrieb:
Dann weiter bei Broadcast habe ich:
CODE: ALLES AUSWÄHLEN
Externe Zone -> Samba browsing -> Subnetz: 192.168.0.0/24
Externe Zone -> Samba browsing -> Alle Netzwerke
Externe Zone -> Samba browsing -> Subnetz: 244.0.0.1/4

Warum ergänzt du eine Regel die sowie alles durchlässt durch zwei weitere?

Da ich keinen Sinn darin sehe heraus zu finden wie es dazu gekommen ist, habe ich das mal bei mir getestet:

openSUSE 11.1 KDE 4.2, als smb-Brower benutze ich Konqueror und Dolphin (URL smb:/)
YaST-Firewall --> Broadcast --> Samba browsing Subnetz: 0/0, schon sehe ich die Arbeitsgruppe.
YaST-Firewall -->Erlaubte Dienste --> passende Schnittstelle Schema Samba Client, ich kann auf den Server zugreifen.

Also ich kann nur sagen die Schema der Firewall funktionieren 1a.

Ich kann dir nur einen einzigen Tip geben, mach alle Einstellungen rückgängig und benutzte nur die fertigen Schemata. Was immer dein Problem war, es lag nicht an der Firewall.

toter · 25 Mai 2009

Mahlzeit,

Tooltime habe ich nichts hinzuzufuegen. Habe eben selbiges szenario gemacht und kann das genauso bestaetigen.

Und der andere thread war ja eigentlich fertig, also kein problem.....

Bis dahin......toter

revealed · 25 Mai 2009

Hi ihr!

Danke für die Antworten und ehm ja..

Code:

Externe Zone -> Samba browsing -> Subnetz: 192.168.0.0/24
Externe Zone -> Samba browsing -> Alle Netzwerke

Diese rührten daher dass eigentlich nur diese nötig sein müsste:

Code:

Externe Zone -> Samba browsing -> Subnetz: 192.168.0.0/24

Die funktionierte dann aber nicht, deswegen dachte ich mir gut... schiess ich mal mit Kanonen:

Code:

Externe Zone -> Samba browsing -> Subnetz: 192.168.0.0/24
Externe Zone -> Samba browsing -> Alle Netzwerke

Das ging dann immernoch nicht! Und dann auf einmal eben das mit grep DROP und:

Code:

Externe Zone -> Samba browsing -> Subnetz: 192.168.0.0/24
Externe Zone -> Samba browsing -> Alle Netzwerke
Externe Zone -> Samba browsing -> Subnetz: 244.0.0.1/4

So kam es dazu... Jetzt ist die Frage, wie ich die ganze Firewall Konfiguration auf Null zurück bekomme.. da muss ich erstmal drüber richtig nachdenken... Ich vermute mal ein einfaches deinstallieren des RPM wird Rückstände in /etc/xy hinterlassen usw...

Danke euch nochmals!

Gruß,

R

toter · 25 Mai 2009

tach, ich nochmal...

also ich war gerade bei nem kunden und hatte da etwas zeit dies nochmal "ergiebig" zu testen, also meine grundeinstellung am klapprechner in sumf ist das alles geschlossen ist, dann habe ich noch verschiedene profile fuer samba, apache u.s.w.
Nun habe ich dies mit dem samba-profil in besagten firmennetz probiert und mit dem eintrag wie tooltime schon schrieb: "YaST-Firewall --> Broadcast --> Samba browsing Subnetz: 0/0" funktionierte es mit konqueror und dolphin ohne probleme, nach neustart und profilwechsel waren sofort die arbeitsgruppen und computer da.
Da mein rechner aber auch sonst damit zurechtkam und ich schon lange nicht mehr hier war probierte ich es gleich nochmal mit allen geschlossenen ports, also quasi die grundeinstellung der firewall, ohne ssh. Und siehe da, wie ich schon vermutete, es ging ebenfalls..... Auch hier tauchten die arbeitsgruppen und computer auf, wobei ich sagen muss das es etwas laenger zu dauern schien, da kann ich mich aber auch taeuschen.....

und deine einstellungen kannst du eigentlich genauso "loeschen" wie du sie eingetragen hast...., via yast oder direkt unter /etc/sysconfig/SuSEfirewall2 und /etc/sysconfig/SuSEfirewall2.d/services/ sollte es auch moeglich sein.

dann bis denne.....

revealed · 25 Mai 2009

Ok danke für die Hilfe!

Das ist schon fast zu viel des Guten glaube ich

Really sehr nett!

Also ich hab auch FTP und HTTPS und HTTP zusätzlich diese funktionieren ganz normal. Ich bin am überlegen, ob ich die Firewall RPM´s inklusive Konfiguration runterschmeiss und diese neu drauf mache und damit quasi bei Null anfange. Da muss ja irgendwas total verbogen sein.

Ich kann es mir mit eueren Testergebnissen nicht mehr anders erklähren. Vorallem hatte ich ein Phänomen. Und zwar habe ich zwei Router die ich einsetzen kann.

Eine Fritz Box und ein Netgear gerät. Beide haben die Selbe IP konfiguration ich kann quasi umstecken zu testzwecken. Und interessanter Weise ging es Problemlos mit dem Netgear gerät.

Wiederum mit einem Telekom gerät dass ich kurz im Einsatz hatte ging es nicht. Und das was mit der Fritzbox rauskam war das Ergebnis oben.

Ich melde mich sobald ich Ergebnisse habe. Das kann sich allerdings ein wenig hinziehen.

Ich danke euch nochmals für die aktive Hilfe!

Gruß,

R

PS.: Sorry ich muss nochmal Nachhaken? Habt ihr eventuell die Möglichkeit, das mit einem VirtualBox guest nachzustellen? Also dass das Gastsystem auf den Host zugreifen kann und dass sich beide sehen?

PPS.: Ein Freund der die Möglichkeit hat, das Gleiche Setup auszuprobieren der Schaut sich das hier noch an bevor ich probiere

Also das nur eine Netzwerkkarte (Host )und ein VirtualBox (Guest) - Samba; Firewall;

revealed · 25 Mai 2009

0o

Ich komm mir vor als würde ich verrückt werden. Also folgendes! Ich habe es mit eigenen Augen gesehen und schon ein paar Monate dieses Problem gehabt!

Ich hatte erst gestern diese benannte Lösung oben zu der ich die Frage hatte eingerichtet. Mit der ging es.

Heute (jetzt gerade) habe ich den ursprünglichen Zustand ohne die 244.0.0.1 wieder hergestellt!
- Also nur im YasT die broadcast wieder raus und nur wie im SMB tut die Broadcast für alle Netze eingerichtet.

Normaler weise hätte der Fehler wieder da sein müssen! Nach Anweisung von besagtem Kumpel habe ich außerdem wie normal auch in zig Tutorials angegeben Broadcast für alle Netze eingerichtet. 0/0; Und ich weiss nicht warum, aber der Fehler ist wie weggeblasen.

Dann habe ich sogar obendrein noch diese Regel eingeschränkt und ersetzt durch:

Code:

192.168.0.0/24

Und selbst das geht auf einmal!

Ich kann es mir nicht erklähren.

Ich beschreibe es mal so:
Ich wurde von einem Paradoxon heimgesucht. Eine Spiegelung des Lichts verursachte eine Krümmung in Raum und Zeit, was die Firewall als unfunktionell erscheinen liess, weil sich ein schwarzes Loch zwischen mich und den Computer geschoben hatte.

Danke! Solvd! <-

Gruß,

R

Tooltime · 25 Mai 2009

revealed schrieb:
Danke! Solvd! <-

Nöh, will ich aber nicht.

In der Zwischenzeit habe ich extra meine firewall in den Grundzustand versetzt und folgendes ausgeknobelt, um selbigen bei dir herzustellen.

Die Grundkonfiguration, alle Parameter die nicht leer sind, in alphabertischer Reihenfolge:
(grep -v ^# /etc/sysconfig/SuSEfirewall2 | grep -v ^$ | grep -v =\"\" | sort)

Code:

FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_PING_FW="yes"
FW_DEV_EXT="any ath0 wlan0"
FW_DEV_INT="eth0 eth1"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IPSEC_TRUST="no"
FW_KERNEL_SECURITY="yes"
FW_LOAD_MODULES="nf_conntrack_netbios_ns"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_DROP_CRIT="yes"
FW_MASQ_DEV="zone:ext"
FW_MASQ_NETS="0/0"
FW_MASQUERADE="no"
FW_PROTECT_FROM_INT="no"
FW_REJECT_INT="yes"
FW_ROUTE="no"
FW_STOP_KEEP_ROUTING_STATE="no"

Kopiere dir den Inhalt lokal als SuSEfirewall2.tooltime.
Dann läst du folgende Befehle bei dir laufen:

grep -v ^# /etc/sysconfig/SuSEfirewall2 | grep -v ^$ | grep -v =\"\" | sort > SuSEfirewall2.revealed
diff -U0 SuSEfirewall2.revealed SuSEfirewall2.tooltime

Code:

--- SuSEfirewall2.revealed  (Schützen vor internes Netz, Schema Samba browsing intern 10.0.0.0/8)
+++ SuSEfirewall2.tooltime  (Alles auf default)
@@ -19 +19 @@
-FW_PROTECT_FROM_INT="yes"
+FW_PROTECT_FROM_INT="no"
@@ -22 +21,0 @@
-FW_SERVICES_ACCEPT_RELATED_INT="10.0.0.0/8,udp,137"

Ich hoffe du weisst wie man die diff-Ausgabe interpretieren muss.

Ergebnis Firewallregel Samba-Browsing:

Die Regel für das interne Netz 10.0.0.1/8
FW_SERVICES_ACCEPT_RELATED_INT="10.0.0.0/8,udp,137"

Naja, ganze Arbeit umsonst. Das Problem mit den schönen Anleitungen im Internet ist halt oft, das sie einen Zustand vor geraumer Zeit darstellen und nur selten auf dem aktuellen Stand gehalten werden. Deshalb lege ich ja auch so einen großen Wert darauf, möglichst viel mit YaST zu machen. Nachher lässt eine manuelle Regel andere Automatismen oder neue Techniken unwirksam werden.

revealed · 25 Mai 2009

Ok!

Mache ich dann gleich ich hab nur gerade *bitter* Ich hab gerade auf KDE 4.2.3 repo umgestellt.
Bei mir läuft grad dicke der Zypper.

Bis später ...

Entschuldige bitte, dass ich dich jetzt auch noch warten lassen muss. Das is mir jetzt panne!

Gruß,

R

Tooltime · 25 Mai 2009

Musst du nicht extra ausprobieren. Ich fand nur halt interessant welche Regel das YaST-Schema in die Firewall-Konfig schreibt und natürlich wie man das heraus bekommt.

revealed · 25 Mai 2009

Hi!

Mach ich noch!

Ich musste jetzt gerade mal zig Pakete deinstallieren, deren Anbieter nicht mehr verfügbar waren, dann hab ich 5hundert nochwas konflikte gelöst. Anbieter auf 4.2.3xy gewechselt und dann alle Updates refreshed bis auf den Kern. Jetzt behaupte ich eine saubere Basis hingestellt zu haben. Dann noch so paar kleinigkeiten, wie alternative plasmoids die in 4.2.x einfach anders sind. Jetz lass ich die kiste mal ein zwei Stunden laufen und dann mach ich das mit Freuden! War natürlich ungünstig dass ich mir da jetzt einfach den Zeitpunkt ausgesucht habe.

Mich interessiert das auch! Es kann nur besser werden!

Sehr nett von dir nochmals! Hoffentlich kann ich auch mal was für dich tun! Ich glaube auch einen Bug gefunden zu haben in KDE. Das poste ich dann noch im KDE teil. Das betrifft die STABLE 4.1 sowohl als auch 4.2;

Bitte gedulde dich noch ein bisschen mit mir

Gruß,

R

revealed · 25 Mai 2009

Hi!

Ich hoffe das richtig ausgeführt zu haben: Hier der diff;

disk@wild-thing:~/Documents/TEST> diff -U0 SuSEfirewall2.revealed SuSEfirewall2.tooltime

Code:

--- SuSEfirewall2.revealed      2009-05-25 23:12:49.000000000 +0200
+++ SuSEfirewall2.tooltime      2009-05-25 23:12:34.000000000 +0200
@@ -1,3 +0,0 @@
-FW_ALLOW_FW_BROADCAST_DMZ="no"
-FW_ALLOW_FW_BROADCAST_EXT="no"
-FW_ALLOW_FW_BROADCAST_INT="no"
@@ -7,2 +4,2 @@
-FW_CONFIGURATIONS_EXT="apache2 apache2-ssl avahi bind netbios-server pure-ftpd samba-client samba-server"
-FW_DEV_EXT='any eth0'
+FW_DEV_EXT="any ath0 wlan0"
+FW_DEV_INT="eth0 eth1"
@@ -25,4 +22 @@
-FW_SERVICES_ACCEPT_RELATED_EXT="192.168.0.0/24,udp,137"
-FW_SERVICES_EXT_TCP="10000 135 139 20000 21 445 netbios-ns"
-FW_SERVICES_EXT_UDP="10000 137 138 20000 microsoft-ds netbios-ssn"
-FW_STOP_KEEP_ROUTING_STATE="no"
+FW_STOP_KEEP_ROUTING_STATE="no"
\ Kein Zeilenumbruch am Dateiende.

Hm kannst du mir etwas dazu sagen? Also WLAN0 gibt es bei mir nicht. Es gibt nur die eth0 Das ist insoweit klar für mich. 10000 und 20000 sind besondere Anwendungen für die diese beiden Ports im speziellen geöffnet sein müssen.

apache2 apache2-ssl avahi bind und pure-ftpd sind ein musthave.
samba-client und samba-server sind wohl auch richtig
Bei netbios-server frage ich mich, ob ich diesen für SAMBA benötige. Zwecks eventueller Namensauflösung?

TCP 135 139 445 und netbios-ns rühren von der Suche warum es nicht funktioniert hatte und Samba Tutorials;
UDP 137 138 microsoft-ds netbios-ssn auch.

Warum er die FW_STOP_KEEP_ROUTING so macht, weiss ich nicht...

Hä? FW_ALLOW_FW_BROADCAST_YX?

Hm muss mal lesen gehen.

Danke daweil nochmal!

Grüsse

R

Tooltime · 26 Mai 2009

Da ich mir nicht sicher bin, wie weit du mit der diff-Ausgabe klar kommst, hohle ich mal ein wenig weiter aus. Am besten ich fange einfach mal mit meinem Beispiel an, das ist die Ausgabe so schön kurz. Durch die grep-Kolonne werden alle Kommentare unterdrückt und Variablen die keinen Wert haben (also Variable=""). Die \-Zeichen sind notwendig, weil das "-Zeichen in der Shell eigentlich eine Sonderfunktion besitzt (Stichwort quoting).

SuSEfirewall2.tooltime --> Firewall in Grundzustand, ohne irgend eine Freigabe.
SuSEfirewall2.revealed --> Vor internen Netz schützen aktiviert und Schema Samba-Browsing.

Der Befehl diff vergleicht zwei Dateien und liefert eine Umbauanleitung. Das Gegenstück ist der Befehl patch. Der Aufruf geht so, diff -Parameter alte_Datei neue_Datei. Die Umbauanleitung beschreibt dann wie ich die alte_Datei ändern muss, damit sie der neuen entspricht.

- bedeutet lösche die Zeile
+ füge folgende Zeile hinzu
@@ Daten zur Position in der Datei, für uns unwichtig

Betrachten wir mal mein Beispiel, wobei ich jetzt in paar Kommentare einfüge:

Code:

@@ -19 +19 @@
-FW_PROTECT_FROM_INT="yes" lösche die Zeile
+FW_PROTECT_FROM_INT="no"  füge diese Zeile ein, da gleiche Variable --> aus yes wird no
    Macht "Vor internen Netz schützen" rückgängig 
@@ -22 +21,0 @@
-FW_SERVICES_ACCEPT_RELATED_INT="10.0.0.0/8,udp,137" lösche die Zeile
    Macht die Änderungen vom Schema Samba-Browsing rückgängig.
    Wichtig die Zeile darf nicht gelöscht werden sondern -->  FW_SERVICES_ACCEPT_RELATED_INT=""
    Wir erinnern uns? Variablen ohne Wert wurden von meinen grep-Befehl unterdrückt und fehlen daher scheinbar.

Ich hoffe das reicht an Erläuterungen, wenden wir uns also deiner Ausgabe zu.
Die Broadcasts

Code:

-FW_ALLOW_FW_BROADCAST_XXX="no"  nur Zeile löschen --> FW_ALLOW_FW_BROADCAST_XXX=""
Die Beschreibung sagt leere Variable --> default Wert --> und der ist no. Also alles Ok.

Code:

-FW_CONFIGURATIONS_EXT="..." Hier haben wir die normalen Schemata. Du hast ja einige Dienste, aber
   avahi: Du hast DHCP im Router, für die Namensauflösung bind und Samba, wozu? Deaktivieren.
   netbios-server: So weit ich weiss, uralter Kram, testweise deaktivieren.

Netzwerkschnittstellen, naja ist klar das die bei dir anders sind.

Code:

-FW_SERVICES_ACCEPT_RELATED_EXT="192.168.0.0/24,udp,137" Ist jetzt ein alter Bekannter, Schema Samba-Browsing, bleibt natürlich wie er ist.

Code:

-FW_STOP_KEEP_ROUTING_STATE="no"
+FW_STOP_KEEP_ROUTING_STATE="no"
Äußerst merkwürdig, da beide Zeilen identisch sind. Ich tippe mal darauf, das bei einer Version ein paar Leerzeichen oder Tabs hinten anhängen. Kann so bleiben.

Jetzt kommt der Punkt den ich übersprungen habe. Wir begeben uns in das Verzeichnis /etc/sysconfig/SuSEfirewall2.d/services, hier liegen nämlich die Firewall-Schemata (Vorlagen). Schauen wir mal exemplarisch in zwei Dateien

Code:

/etc/sysconfig/SuSEfirewall2.d/services/samba-client
RELATED="0/0,udp,137"
MODULES="nf_conntrack_netbios_ns"
/etc/sysconfig/SuSEfirewall2.d/services/samba-server
TCP="netbios-ssn microsoft-ds"

Ehrlich gesagt, ist mir jetzt zu aufwendig alle Services in Portnummern um zu wandeln. Ich vertraue da mal den Leuten die die Schemata gebaut haben.

Code:

Aus
   -FW_SERVICES_EXT_TCP="10000 135 139 20000 21 445 netbios-ns"
   -FW_SERVICES_EXT_UDP="10000 137 138 20000 microsoft-ds netbios-ssn"
solltest du folgendes machen
   FW_SERVICES_EXT_TCP="10000 20000"
   FW_SERVICES_EXT_UDP="10000 20000"

Das mit Port 21 ist kein versehen, ich wette der steht schon in
/etc/sysconfig/SuSEfirewall2.d/services/pure-ftpd drin.

Und das wichtigste, immer schön ein Sicherheitskopie von der letzten lauffähigen Konfiguration machen. Ich gebe mir zwar mühe, bin aber nicht unfehlbar.

revealed · 26 Mai 2009

Hi!

Super Danke

Ich musste jetzt noch ein wenig welzen und hätte noch eine Frage zu diesem:
FW_CONFIGURATIONS_EXT=

Code:

apache2 apache2-ssl bind pure-ftpd

Du meinst folgende deaktivieren?
avahi
und Samba (client u. server)
netbios-server

Die anderen habe ich ohne weiteres verstanden! Danke

FW_SERVICES_EXT_UDP= -> Wie beschrieben gemacht!
FW_SERVICES_EXT_TCP= -> Wie beschrieben gemacht!

Gehe mal testen...

Ok also ich habe die diffs so angewandt wie beschriben...

- Wenn ich Netbios Server rausnehme, dann findet sich die Arbeitsgruppe nicht mehr.
- Wenn ich Samba Client und Samba Server rausnehme aber netbios drin lasse, dann findet sich keine Arbeitsgruppe mehr.

Wenn ich alle drei wieder reinnehme Findet sich Arbeitsgruppe aber das Share wird nicht mehr angezeigt.
Datentausch "Die Datei oder der Ordner smb://wild-thing existiert nicht"

Jetzt funktioniert die Namensauflösung nicht mehr.

Habe die Zeile gesucht mit PICO (STRG+W) mit genauer Syntax:

Code:

FW_STOP_KEEP_ROUTING_STATE="no"

Äußerst merkwürdig, da beide Zeilen identisch sind. Ich tippe mal darauf, das bei einer Version ein paar Leerzeichen oder Tabs hinten anhängen. Kann so bleiben.

Die suche brachte in der Datei keine Ergebnisse. Ich vermute ein Zeichen in der Zeile die dennoch wirklich vorhanden ist, könnte mit falscher Kodierung eingetragen worden sein? Habe die Zeile von Hand neu geschrieben.

Zum erneut Rückwärtstesten habe ich FW_SERVICES_EXT_UDP= -> und FW_SERVICES_EXT_TCP= -> wieder wie vorher eingestellt.

Mein rechner sieht seinen eigenen Share immernoch nicht.

Jetzt ist die Konfiguration fast im Ursprungszustand. Bis auf die neugeschriebene Variable. Und es funktioniert nicht mehr.

Die kiste macht mich fertig. Wenn es jetz nach einem Reboot klappt, dann lass ich es so. Ich kapituliere.

Und jetzt kommt der Oberhammer!!!:
wild-thing Beinhaltet Freigabe DATENTAUSCH
wild-thing-vm beinhaltet Freigabe testfreigabeXP

HOST: wild-thing Sieht seinen eigenen DATENTAUSCH nicht -> Jedoch auch die testfreigabeXP nicht;
GUEST: wild-thing-vm Sieht DATENTAUSCH; Und seine eigene testfreigabeXP;

Beide sehen SESSION (Die Arbeitsgruppe)
Beide sehen wild-thing und wild-thing-vm in SESSION;

:???:

Aber wiederum... also mal abgesehen von DOLPHIN:

Code:

wild-thing:/usr/lib/nagios/plugins # ./check_disk_smb -H wild-thing -s DATENTAUSCH
Domain=[SESSION] OS=[Unix] Server=[Samba 3.2.7-11.2.1-2080-SUSE-CODE11]
Server not using user level security and no password supplied.
Disk ok - 51.63G (66%) free on \\wild-thing\DATENTAUSCH

Gruß,

R

Tooltime · 26 Mai 2009

revealed schrieb:
Du meinst folgende deaktivieren?
avahi
und Samba (client u. server)
netbios-server

Ne, meiner Meinung nach sollte es so aussehen:

Code:

FW_CONFIGURATIONS_EXT="apache2 apache2-ssl bind pure-ftpd samba-client samba-server"
FW_SERVICES_ACCEPT_RELATED_EXT="192.168.0.0/24,udp,137"
FW_SERVICES_EXT_TCP="10000 20000"
FW_SERVICES_EXT_UDP="10000 20000"

Ich wollt nur die Dienste avahi und netbios-server zur Diskussion stellen, da sie meiner Meinung nach überflüssig sind. War mit nur halt nicht sicher, ob du sie nicht aus einem bestimmten Grund freigegeben hattest.

Habe noch extra pure-ftpd installiert um
/etc/sysconfig/SuSEfirewall2.d/services/pure-ftpd

TCP="ftp 30000:30100"

anschauen zu können. Siehe da, ich hatte recht mit Port 21 (ftp).

So habe das nochmal mit meinen Testserver nachgestellt. Diesmal habe ich sogar die Schnittstellen gedreht damit sich die Netzwerkkarte auch im externen Netz befindet.

Code:

Testserver:           Testclient:
SuSE 10.1             openSUSE11.1
Samba 3.0.22          Samba 3.2.7
KDE 3                 KDE 4.2
Firewall aus          Gesetzte Firewall-Schemata "Samba-Client Samba-Server Samba-Browsing"

Ich kann nur sagen, mit der Konfiguration kann der Testclient sich selbst und den Testserver mit der URL smb:/ sehen, auf alle Shares des Servers zugreifen und natürlich auch auf die eigenen. In Gegenrichtung (per ssh -X, kfmclient openProfile filemanagement& und URL smb:/) kann der Testserver auch den Testclient sehen und auch das extra freigegebene User-Share öffnen.

Ich kann prinzipiell nur noch einmal bestätigen, das jedes Firewall-Schema exakt das tut, was es vom Namen her verspricht. Wobei ich grundsätzlich nicht ausschließe, das ein Win-XP-Client sich ein wenig anders verhält als ein Linux-Client.

revealed · 26 Mai 2009

Hm ich Danke dir abermals!

Ich werde das jedoch jetzt nach dem irritierenden verhalten, das meine Firewall zeigt schlicht eine Weile ruhen lassen. Mich nervt das zu Grunde. Mach dir bitte keine weitere Arbeit mehr damit. Das kost bloß nerven da ist augenscheinlich *irgendwas* kaputt. Vermutlich werde ich wirklich einfach alle sysconfig dateien bezüglich Firewall neu einspielen inklusive RPM. Wann, weiss ich allerdings noch nicht.

Ich kapituliere vor meiner defekten SuSEfirewall. Steht ja nicht direkt im Netz sondern da is noch nen Router mit einer Firewall Lösung. Daweil geht das schon.

Danke vielmals nochmal.

Bis die Tage!

Gruß,

R

Tooltime · 27 Mai 2009

Einen habe ich noch. Habe jetzt mal nur so aus Neugierde einen Win-XP-Home Client an meinen Testserver gehängt. Siehe da nichts zusehen in der Netzwerkumgebung bei Win, Testserver sieht aber den Client. Ca. 3 min gewartet, immer noch nichts zu sehen bei XP. Share direkt aufgerufen, Verbindung klappt. Kurze Zeit später, der Server ist in der Netzwerkumgebung. Dachte ich mache auch mal die Gegenprobe, Netzwerkkabel am Client heraus gezogen. Also 15 min später und nach zwei Win-Neustarts konnte ich den Server immer noch in der Netzwerkumgebung sehen. Habe natürlich mal aus Spaß den Server angeklickt, kam die Fehlermeldung "keine ausreichende Berechtigigung" oder ähnlich. Ok, war wirklich ein wenig naiv von Windows eine vernünftige Fehlermeldung zu erwarten. Und ich habe auch zwischendurch nicht vergessen die Ansicht zu aktualisieren.

Fazit: Um eine Windowsnetzwerk zu testen ist Windows vollkommen ungeeignet.

Langsam regen sie die grauen Zellen wieder. Erinnert mich an alte Win98-Zeiten, da war das auch so. Abhilfe brachte damals ein WINS-Server, an dem sich jeder Client anmeldet.

revealed schrieb:
Ich kapituliere vor meiner defekten SuSEfirewall.

Falscher Ansatz, kein Windows --> keine Probleme!

revealed · 27 Mai 2009

Das bittere ist ja.

Abgesehen;

Jetzt ist die SuSE Firewall 2 aus

- Es läuft nur der SAMBA;

UND JETZT WIRD ES BITTER!

Dolphin: -> "smb:/" eingeben;

Arbeitsgruppe "session" taucht auf (doppelklick)
"wild-thing" taucht auf (doppelclick)
"Die Datei oder der Ordner smb://wild-thing/ existiert nicht."

wenn das Popup sich ausgeblendet hat steht in der STatusleiste unten "1 Ordner" aber es wird nix angezeigt.

*würg*

Gleiches Spiel mit Konqueror

Wiederum mit smb4k taucht DATENTAUSCH auf aber das bringt mir auch nix.

Code:

wild-thing:/home/disk # testparm 
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"               
Processing section "[print$]"                 
Processing section "[datentausch]"            
Processing section "[canonmp160]"             
Loaded services file OK.                      
Server role: ROLE_STANDALONE                  
Press enter to see a dump of your service definitions

[global]                                                                                                                     
        workgroup = SESSION                                                                                                  
        server string = SAMBA                                                                                                
        interfaces = eth0, lo                                                                                                
        bind interfaces only = Yes                                                                                           
        security = SHARE                                                                                                     
        map to guest = Bad User                                                                                              
        acl compatibility = winnt                                                                                            
        name resolve order = bcast lmhosts hosts wins                                                                        
        server signing = auto                                                                                                
        printcap name = cups                                                                                                 
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$                              
        logon path = \\%L\profiles\.msprofile                                                                                
        logon drive = P:                                                                                                     
        logon home = \\%L\%U\.9xprofile                                                                                      
        preferred master = Yes                                                                                               
        domain master = No                                                                                                   
        ldap ssl = no                                                                                                        
        usershare owner only = No                                                                                            
        idmap uid = 10000-20000                                                                                              
        idmap gid = 10000-20000                                                                                              
        hosts allow = 127.0.0.1, 192.168.0.0/24                                                                              
        hosts deny = 0.0.0.0/0                                                                                               
        cups options = raw                                                                                                   
        use client driver = Yes
        include = /etc/samba/dhcp.conf

[printers]
        comment = All Printers
        path = /var/tmp
        create mask = 0600
        guest ok = Yes
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @ntadmin, root
        force group = ntadmin
        create mask = 0664
        directory mask = 0775

[datentausch]
        comment = Datentausch
        path = /windows/G/DATENTAUSCH/
        read only = No
        guest ok = Yes

[canonmp160]
        comment = Canon MP160 Linux
        path = /var/tmp
        read only = No
        create mask = 0600
        guest ok = Yes
        printable = Yes
        printer name = PIXMA MP160 Linux
        share modes = No

Jetzt folgendes: Nagios erreicht den SHARE; Nagios läuft auf localhost; Nagios frägt den SHARE via dem hostname an; -> Funktioniert;

Ich halte Fest -> Firewall ist deaktiviert;

Ich starte
- rcsmb
- rcnmb
- rcwinbind
--> Neu

Gehe in Dolphin und tippe smb:/ und drücke Enter; *nüscht*

Code:

# ls -al /windows/G/DATENTAUSCH/
insgesamt 4
drwxrwxrwx 1 root root    0 31. Mär 15:08 .
drwxrwxrwx 1 root root 4096 26. Mai 14:16 ..
drwxrwxrwx 1 root root    0 24. Mai 03:12 Hallo Wild-Thing

Mein Computer hat ein Eigenleben. Und den Storch den brat mir jetz mal einer.

Wenn ich in Dolphin eingebe:

Code:

smb://wild-thing/datentausch

Wird es angezeigt;

Aber von allein kann er Datentausch nicht anzeigen. Ich sollte vielleicht mal lesen, wie er was sehen könnte. Aber ich finde leider nichts.

Habe mal grad in der .xsession-errors nachgeschaut:

Code:

kio_smb(7041)/kio (kioslave) KIO::SlaveBase::finished: finished() called after error()! Please fix the KIO slave.

Gruß,

R

revealed · 27 Mai 2009

So jetz is er geröstet!

[GELÖST!] Habe im YasT alle SAMBA Pakete gelöscht. Das Verzeichnis:
/etc/samba/ geleert.

Danach wieder die Samba Pakete installiert.

Dann im YasT nur Samba server kurz einmal durchgeklickt.
Dann im Runleveleditor die samba nmbd und winbindd aktiviert;

Meine smb.conf die irgendwie einwandfrei scheint wieder reinkopiert:

Code:

# Samba config file created using SWAT     
# from UNKNOWN                             
# Date: 2009/03/13 21:39:44                

[global]
        netbios name = wild-thing
        workgroup = SESSION      
        server string = SAMBA    
        security = SHARE         
        interfaces = 127.0.0.1 192.168.0.0/24 eth0 lo
        hosts allow = 127.0.0.1 192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 localhost
        hosts deny = 0.0.0.0/24                                                          
        bind interfaces only = true                                                      
        map to guest = Bad User                                                          
        guest ok = Yes                                                                   
        guest account = nobody                                                           
        acl compatibility = winnt                                                        
        server signing = auto                                                            
        name resolve order = bcast host lmhosts wins                                     
        wins support = yes                                                               
        browseable = yes                                                                 
        printcap name = cups                                                             
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        logon path = \\%L\profiles\.msprofile                                                  
        logon drive = P:                                                                       
        logon home = \\%L\%U\.9xprofile                                                        
        local master = Yes                                                                     
        preferred master = Yes                                                                 
        domain master = Yes                                                                    
        ldap ssl = no                                                                          
        idmap uid = 10000-20000                                                                
        idmap gid = 10000-20000                                                                
        cups options = raw                                                                     
        include = /etc/samba/dhcp.conf                                                         
        usershare allow guests = Yes                                                           
        client signing = No                                                                    
        server signing = No                                                                    
        lanman auth = Yes                                                                      
        client lanman auth = Yes                                                               

[printers]
        comment = All Printers
        path = /var/tmp       
        create mask = 0600    
        printable = Yes       
        browseable = No       

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @ntadmin, root
        force group = ntadmin
        create mask = 0664
        directory mask = 0775

[datentausch]
        comment = Datentausch
        path = /windows/G/DATENTAUSCH
        read only = No
        guest ok = Yes
        browseable = Yes

[canonmp160]
        comment = Canon MP160 Linux
        path = /var/tmp
        read only = No
        create mask = 0600
        guest ok = Yes
        printable = Yes
        printer name = PIXMA MP160 Linux
        oplocks = Yes
        share modes = No

Code:

cat /etc/samba/lmhosts
# This file provides the same function that the lmhosts file does for
# Windows. It's another way to map netbios names to ip addresses.
#
# See section 'name resolve order' in the manual page of smb.conf for
# more information.

127.0.0.1       localhost

Code:

testparm

Code:

rcsmb restart

Code:

rcnmb restart

Code:

rcwinbind restart

Jetzt geht es. :???:

Gruß,

R

[ Gelöst ] Multicast Bereich 244.0.0.1 in SuSE-Firewall2 ? :

revealed

Guru

Tooltime

Advanced Hacker

toter

Newbie

revealed

Guru

toter

Newbie

revealed

Guru

revealed

Guru

Tooltime

Advanced Hacker

revealed

Guru

Tooltime

Advanced Hacker

revealed

Guru

revealed

Guru

Tooltime

Advanced Hacker

revealed

Guru

Tooltime

Advanced Hacker

revealed

Guru

Tooltime

Advanced Hacker

revealed

Guru

revealed

Guru