Das große SUSE-Paradoxon, Samba, Firewall?

Hallo,
vielleicht kann mir ja jemand mit meinem Problem weiter helfen. Nun, es ist ein kurrioses...
Ich verwende ein SUSE9.3 und einen WXPprof Rechner in einem Netzwerk, Name: Workgroup, Adressraum durch DHCP verwaltet (läuft auf SMC-Router) Die Lan-Karte des Rechners ist auf "externe Zone" gesetzt.
Alles soweit I.O., ich komme mit SUSE ins Internet, Yupheidiheida.

Aber:
Ich kam nicht via "Desktop/Netzwerk Browser/Sambashares" ins laN und auf meine Shares auf dem XP,
also habe ich unter YAST/Sicherheit und Benutzer/Firewall/Erlaubte Dienste/Externe Zone/erweitert" in zusetzliche erlaubte Ports/IP-Protokolle" die Eintragung "smb" hinterlassen.

Jetzt meldet er wenn ich auf "desktop/netzwerkbrowser/smb-Shares" gehe "Keine Arbeitsgruppe im lokalen Netzwerk auffindbar, This may be caused by an enabled firewall".

Diese Fehlermeldung tritt nicht auf, wenn ich die Firewall abschalte. Soweit also OK.

Wenn ich aber die FW eingeschaltet habe und den Konqueror ins Verzeichnis "smb:/" schicke, läuft alles ganz normal und ich komme ins Netz und zu den Shares.

Warum klappt das nicht über den "Klick-WEg" via "Netzwerkbrowser/..."?

Wo liegt mein Denkfehler?

kan eigentlich nur daran liegen, dass bei dem "Klick-Weg" zuerst andere Ports angesprochen werden und/oder die Pakete auf eine Weise gestaltet sind, die die Firewall garnicht mag. Zb könnte ich mir vorstellen, dass dort alles über UDP läuft, anstatt über TCP, oder umgekehrt. Ergo: Mal mit Ethereal oder änhlichem prüfen, was da genau passiert ODER (noch einfacher finde ich) die Firewall abschalten, in der Konsole
eingeben, und dann in
alles mal durchforsten, da steht dann auf garantie auch dein fehlerteufel dabei.

Heyho,

Danke für die Hinweise. Leider ist mir die Syntax von IPtables trotz sehr solider Erfahrungen im windows-extremfirewalling noch ein bisschen schleierhaft, und allgemein sagt man ja:

1. Vertraue keiner Software die Du nicht durchschaust!
folglich werde ich nun versuchen IPtables zu durchschauen

und weil man auch sagt:
2. Vertraue keinen Empfehlungen etwas in die Shell zu hacken was Du nicht durchschaust!
sehe ich mich in 1. bestärkt und

habe mir "das firewall-buch" gekauft. Sehr schöner Schinken. Ein bisschen viel Blahblah am Anfang aber er wird sehr schnell sehr konkret. Mal sehen, ich denke, das Thema habe ich in 2 Wochen im Griff.

Danke trotzdem
Slash

so, hab eigentlich das selbe problem

beim klick auf smb shares kommt die oben genannte fehlermeldung
bei direkteingabe des windows-rechners mit den freigaben funktioniert es aber

stinkt mich an, unter suse 9.1 ging's noch problemlos unter suse 9.3 leider nich

kennt niemand 'ne simple lösung?

mach doch mal da, was ich oben beschrieben hab, such den entsprechenden zeitpunkt raus und poste das, was da steht hier bitte, nur so lässt sich das problem finden, was dein vorgänger anscheinend nicht verstehen wollte.....ich kapier zwar nicht, warum er überhaupt nach hilfe fragt, wenn er sie eh nicht annimmt, aber jedem das seine o_0

Hmm ich würde vermuten, dass ein klick auf die "NEtzwerkumgebung" einen Broadcast auslöst, den deine Firewall blockt... SMB ist ehh eine einzige Katastrophe (meine Meinung dazu)...

Ansonsten auf folgende Prots achten:

137/UDP - NETBIOS Name Service
138/UDP - NETBIOS Datagram Service
139/TCP - NETBIOS Session Service

Naja in so einem kleinem Netz wird es sich kaum lohnen, aber um Netbios Broadcasts zu vermeiden - einen WINS Server einsetzen .)

ich weiss au nimmer weiter
hab mir allerdings ma das firewall log angesehen ...
immer wenn ich auf NETZWERKBROWSER------>SMB Shares gehe oder eben im konqueror smb:/ eingebe
passiert folgendes..........

Aug 2 21:33:43 ARBEIT kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0b:6a:37:0c:f0:00:80:48:d6:e1:8e:09:00 SRC=192.168.0.10 DST=192.168.0.11 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=621 DF PROTO=UDP SPT=137 DPT=1050 LEN=70
Aug 2 21:33:43 ARBEIT kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC= SRC=192.168.0.11 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=2 DF PROTO=UDP SPT=1050 DPT=137 LEN=58

wobei die portnummer 1050 schwankt zb 1028 1041 1058 1055 und so weiter..........

iss firewall aus alles in butter
auf dem samba server sind ports 137 138 udp 139 445 tcp frei....
ne windoofkiste findet den server sofort und verbindet auch......
warum kommen bei linux immer diese anfragen auf den unprefiligierten ports zurück?
war früher au ned so....... zumindest schient es die firewal ned gekratzt zu haben.
das problem scheint was mit der namensauflösung zus ein denn ne direkte ansprache per IP auf die rechner klappt einwandfrei

allow broadcast iss auch auf yes irgendjemand ne idee was da im netz passiert?
wie kann ich dem clienet sagen das er nur nen bestimmten port nutzen soll?
oder wie ich die ip des servers mit udp auf allen ports als sichere ip in die firewall config eintragen kann?

system iss server suse 9.2
arbeitsrechner suse 9.3
thx gruss AXT

OK da bin ich nochmal.....................
eventuel problem solved.....................

hab mir ma so ein paar gedanken gemacht nachdem ich mir fst 2 nächte um die ohren geschlagen hab.........
erstma zu meiner konfiuration:
1 datenserver suse 9.2
1 arbeitsrechner sues 9.3
1 laptop suse 9.3 und windows
1 laptop windows
server hat samba als DMB und LMB WINS, und nfs-server am laufen
verschieden freigaben für das windows netzwerk.
die win clienten haben alle die ip des servers als WINS drin (gab hier ja auch keine probleme)

windows hat in der regel einen festen netbiosnamen für den rechner (jenachdem wie er gewählt wurde)
der server hat auch einen netbios namen.
wenn ich nun über die netzwerbrowser unter linux das netzwerk browsen will
sucht der linux rechner nach anderen coputern und versucht rauszufinden wer er selber iss......
und hier denke ich is das problem......
weiss der geier warum die firewall sich nicht dazu bewegen lässt das man diese infos durchlässt ein problem iss aber das der port andauern wechselt.....
somit weiss der rechner nicht wer er iss (aus samba blickwinkel)
nun habe ich in der /etc/smb.conf unter global folgendes eingetragen:

wenn kein wins server vorhanden denke ich brauch man die zeile nicht.....

wenn ich nun auf netzwerkbrowser gehe und smb shares aufrufe kommt nach kurzer zeit alles was zur zeit im netzwerk online iss..........
die firewall drop zwar immernoch wie wild aber es scheint zu gehen.
zur firewall einzige einstellung die ich hier vorgenommen habe ist dirkt in der
/etc/sysconfig/SuSEfirewall2
abschnitt 22


das sollte dann genügen
probiert es mal aus und lasst mich wissen ob es ne allaround lösung iss oder nur bei mir hinhaut!!!!
eventuell ma die karre nach en änderungen neustarten...(sollte nich aber wer weiss....)
sollte ich kist erzählt habe wie ich mir den ablauf vorstelle bitte bescheid geben!
alle angaben ohne gewähr vorallem was die firewall einstellung betrifft!!!!
ANMERKUNG : stellt die fireall dirkt in der config ein was yast da macht iss mir ein rätsel iss aber nich das was ich will.........
kommt nur mist bei raus.........weiss der geier warum.
gruss AXT

AXTIMWALD schrieb:

ANMERKUNG : stellt die fireall dirkt in der config ein was yast da macht iss mir ein rätsel iss aber nich das was ich will.........
kommt nur mist bei raus.........weiss der geier warum.
gruss AXT

Zum Vergrößern anklicken....

rm -rf / schrieb:

Benutz aber am besten nicht so nen SuSeFirewall2 Gefrickel, machs am besten per Hand

Zum Vergrößern anklicken....

--> Es tut gut, recht zu haben

Hehe immer die gleichen Probleme mit der SuSE Firewall ...

Obwohl es meist am Anfang reichen sollte ;-)

Mir ist oben eines aufgefallen :

Unter LAN Karte verstehe ich eigentlich das intere Interface ?!?
Falls Du zwei Netzwerkkarten hast sollte auch die richtige als extern deklariert werden weil sonst sehr merkwürdige Fehler auftauchen.


Full Ack, mein Tip : Schau die mal den Firewall-Builder an http://www.fwbuilder.org/
Der ist schön "klickie-Buntie" ;-) Man hat mit der Syntax von Iptables recht wenig zu tun aber im Zweifel kann man immer noch im Script nachschauen was passiert ...

So long

ThomasF

Hallo,
nachdem ich das gleiche Problem habe wie oben geschildert (trotz in YAST freigegebener Ports für Samba) habe ich lange hin und her experemerntiert, viele Log-Dateien gewälzt und mir das Hirn zermartert.
Letztendlich habe ich durch rumbrobieren eine Lösung gefunden (???).

Also ich habe einfach für die externe Zone den Samba-Server hinzugefügt. Dann habe ich unter Erweitert den UDP-Port 138 und den UDP-Port hinzugefügt, der in meinen Log-Dateien auftauchte:

Oct 9 20:05:26 desktop kernel: SFW2-INext-DROP-DEFLT IN=ra0 OUT= MAC=00:80:5a:34:3a:6f:00:0e:35:10:ec:ce:08:00 SRC=192.168.2.100 DST=192.168.2.101 LEN=90
TOS=0x00 PREC=0x00 TTL=128 ID=4345 PROTO=UDP SPT=137 DPT=1040 LEN=70

Zum Vergrößern anklicken....

Dann hab ich den kram gespeichert und es funktionierte.

ABER, jetzt kommts: Ich habe die Firewall-Einstellungen wieder geöffnet, und die Einstellung rückgängig gemacht (also Port 1040 aus UDP-Zeile wieder Löschen).
Gespeichert...
Tuts immer noch....
Firewall neu gestartet... tuts immernoch...

Tja, ich habe zwar jetzt etliche große :?: im Gesciht stehen, aber wenns funzt, solls mich nicht weiter stören.

Nun werde ich erstmal einen Neustart versuchen und sehen, ob das immer noch funktioniert.

Also, I'm out, I'm downd and soon back

Der Zielport ist da auch eher zufällig.

denn wenn ich das System neu Starte, findet er erstmal wieder gar nichts.

Wenn ich die Firewall dann abschalte und in der Adresszeile des Konqueror smb:/ eingebe, findet er das Netzwerk.
Wenn ich dann die Firewall wieder anschalte, blockt er es zumindest nicht mehr - was er vorher getan hat.

Hat noch jemand eine Idee, wie man die Lage weiter eingrenzen kann?
##############
Ergänzung:

Habe soeben herrausgefunden, dass wenn ich in die Adresszeile die IP-Adresse eintrage, die Verbindung ohne Probleme hergestellt wird.
Muss ich jetzt extra einen DNS dafür aufsetzen, oder reicht es, wenn Ich Ihm den Host "laptop" in der /etc/hosts bzw. /etc/samba/lmhosts bekannt gebe?

Scheinbar habe ich das Rätsel jetzt geknackt.

Zuerst habe ich festgestellt, dass smb:/192.168.xxx.xxx funktioniert. Also habe ich in meine /etc/hosts diese IP als laptop eingetragen, damit die Namensauflösung geht.

Dann:

1. vi /etc/sysconfig/network/dhcp
2. DHCLIENT_MODIFY_SMB_CONF="no" (stand bei mir zuvor auf "yes")
3. dhcpd restart

Zum Vergrößern anklicken....

Bei mir funktioniert es nun.

ThomasF schrieb:

Hehe immer die gleichen Probleme mit der SuSE Firewall ...

Obwohl es meist am Anfang reichen sollte ;-)

Mir ist oben eines aufgefallen :

Code:

Die Lan-Karte des Rechners ist auf "externe Zone" gesetzt.

Unter LAN Karte verstehe ich eigentlich das intere Interface ?!?
Falls Du zwei Netzwerkkarten hast sollte auch die richtige als extern deklariert werden weil sonst sehr merkwürdige Fehler auftauchen.

Code:

Benutz aber am besten nicht so nen SuSeFirewall2 Gefrickel, machs am besten per Hand

Full Ack, mein Tip : Schau die mal den Firewall-Builder an http://www.fwbuilder.org/
Der ist schön "klickie-Buntie" ;-) Man hat mit der Syntax von Iptables recht wenig zu tun aber im Zweifel kann man immer noch im Script nachschauen was passiert ...

So long

ThomasF

Zum Vergrößern anklicken....

das passt schon da alle rechner nochma über nen router gehen somit habe ich die externe als jene deklariert welche für alle im lan erreichbar iss und die interne die welche ich per crossover mit dem 2ten sys verbunden habe

rethus schrieb:

Scheinbar habe ich das Rätsel jetzt geknackt.

Zuerst habe ich festgestellt, dass smb:/192.168.xxx.xxx funktioniert. Also habe ich in meine /etc/hosts diese IP als laptop eingetragen, damit die Namensauflösung geht.

Dann:

1. vi /etc/sysconfig/network/dhcp
2. DHCLIENT_MODIFY_SMB_CONF="no" (stand bei mir zuvor auf "yes")
3. dhcpd restart

Zum Vergrößern anklicken....

Bei mir funktioniert es nun.

Zum Vergrößern anklicken....

eingentlich das selbe wie bei der eintragung in der smb.conf
du must dem rechner ebn nur verständlich machen wie er namen auflösen soll
das es beim ausschalten der firewall und wieder aktivieren geht scheint von der tatsache herzurühren dass er dann seine infos erhält und sie tem speichert bis zum nächsten system start eben



gruss AXT