Frage zu Samba

rbest · 30 Dez. 2005

Hi Leute,
mittlerweile ist mein Netz fast so wie ich es haben wollte. Nur eins wäre noch nett - falls es geht. Meine Wunsch-Konfiguration wäre die:
Server (r1) mit Linux (192.168.0.100 - lan-Karte und ...1.100 - wlan), NFS und Samba.
PC (r2) mit windows (...0.2 - lan) und lappi (r-lap) (Linux oder windows ...1.12 - wlan).
Ist es technisch möglich, dass ich per Samba von r2 auf r-lap zugreife, bzw. umgekehrt? Sichtbar sind die Rechner nämlich bereits, nur wird der Zugriff verweigert.

brizly · 31 Dez. 2005

jo, sicher geht das (hab ich auch)
der Server muss nur als Router fungieren,
dass ist relativ einfach mit iptables machbar.

in iptables könntest du bspw. in der FORWARD-Kette einfach den Verkehr vom 0er ins 1er-Netz routen lassen und umgekehrt (je eine Zeile)

Code:

iptables -A FORWARD  -s 192.168.0.0/24 -i eth0 -d 192.168.1.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD  -s 192.168.1.0/24 -i eth0 -d 192.168.0.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Legende:
A - append/attach - (die folgende Regel) an Kette anhängen
s - source - Quell-Adresse
d - destination - Ziel-Adresse
i - input-interface - Kürzel der betreffenden _eingehenden_ LAN-Karte
o - output-interface - Kürzel der betreffenden _ausgehenden_ LAN-Karte
m state --state ... - modul Status um jew. Status einzugrenzen
j ACCEPT - jump zu ... - diese Regel (alles bisherige in der Zeile) aktzeptieren

äh... ggf. musst du natürlich die ethx-Kürzel anpassen... oder die s/d-Adressen genauer eingrenzen...

lese gerade nochmal

Sichtbar sind die Rechner nämlich bereits, nur wird der Zugriff verweigert

wer genau sieht da wen? habe ich das Thema verfehlt?

jengelh · 31 Dez. 2005

Broadcast-Pakete, wie sie z.T. in "Netzwerkumgebung" verwendet werden, werden nicht ohne NAT Helper geFORWARDet. Ab 2.6.15 gibt's anscheinend ein sog. netbios-Modul das das machen kann.

rbest · 1 Jan. 2006

hallo,
gesegnetes neues Jahr erst mal. Also r1 ist server, von r-lap sehe ich (in windows) r1, r-lap und r2 (alle in der ArbGrp rbt). Der Zugriff von r2 auf r1 klappt hervorzüglich, genauso von r-lap auf r1. Ideal wäre noch von r-lap auf r2, bzw. umgekehrt. Und das geht mit iptables? Probier ich mal.

rbest · 4 Jan. 2006

brizly schrieb:
jo, sicher geht das (hab ich auch)
der Server muss nur als Router fungieren,
dass ist relativ einfach mit iptables machbar.

hi brizly,
komm leider jetzt erst zu iptables. Habe überall rumgesucht nach iptables gesucht, aber nicht herausgefunden, wo die Zeilen hingehören. Nach fstab, mtab... Nun gut, ich tippe mal auf squid.conf, aber zur Sicherheit frag ich lieber mal. Bitte verwechsle mich nicht mit einem Admin.
Danke für deinen/euren Aufwand.

brizly · 4 Jan. 2006

Moin,

also mit dem Befehl

Code:

iptables -A FORWARD  -s 192.168.0.0/24 -i eth0 -d 192.168.1.0/24 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

würdest du, wenn du es in der Konsole eingibst (und so hatte ich es gemeint/gedacht), die Firewall 'live' ändern, also während sie läuft die Regeln ergänzen.

Wenn du nach dem Einstellen der Regeln zufrieden bist, kannst du mit iptables-save das 'Regelwerk' speichern.

bei mir (fedora core...) gebe ich dann bspw ein

Code:

iptables-save > /etc/sysconfig/iptables

weil /etc/sysconfig/iptables die Datei ist, in der die Regeln für die Firewall auch beim starten (also auch beim booten) ausgelesen werden.

Meintest du sowas?

rbest · 4 Jan. 2006

ach so. Ok, danke. Hoffe, dass ich so weiterkomme.

rbest · 4 Jan. 2006

hi brizly,
sorry, nochmal ich.

Hab jetzt (hoffentlich richtig) herausgefunden, dass man das in die susefirewall.conf einträgt, aber nach Neustart keinen durchschlagenden Erfolg.
Ich kann von r-lap (192.168.1.12) die 2 Karten von r1 (192.168.1.100 und 0.100) anpingen, aber r2 (192.168.0.2) geht nicht, bzw. von r2 aus geht r-lap (...1.12) nicht. Wenn ich in windows die "Netzwerkumgebung" aufmach, dann sehe ich zwar alle 3 Rechner mit Namen, aber öffnen kann ich nur r1 und den lokalen. Beim dritten heisst es immer "Auf \\r2 kann nicht zugegriffen werden ..."

brizly · 4 Jan. 2006

hm... also grundsätzlich scheint dann ja das durchreichen der Netzwerkanfragen vom 0er ins 1er Netz und umgekehrt zu funktionieren.
Innerhalb der Freigaben gibts es dann ggf. vielleicht kann sein nur noch ein Rechteproblem?

weiß nicht mehr genau, welcher Rechner welches OS hatte,
aber bei Linux-Samba-Server kann man ja prima einschränken, welche Netzwerke überhaupt zugreifen können dürfen sollen müssen...

rbest · 4 Jan. 2006

also ich fahre den server (r1) prinzipiell in linux, r2 in windows und r-lap nach Bedarf linux oder windows.

Frankie777 · 4 Jan. 2006

Benutzt Du zwei verschiedene SubNets?

Samba über zwei SubNets geht, ist allerdings etwas komplizierter. Nicht der direkte Zugriff per IP auf ein Share, sondern die Namensauflösung über NetBios muß geeignet konfiguriert werden. Das macht man eigentlich nicht ohne besonderen Grund.

Anonymous · 4 Jan. 2006

Wisst ihr was das Beste ist? Das das Ganze mit IP-Tables überhaupt nichts zu tun hat. Zumindest nicht das was eigentlich im Eingangsgangsposting stand.

Punkt 1.
Wenn ich unterschiedliche Netze (Subnetze) miteinander kommunizieren lassen will, muss ich mich um Routing kümmern.

Punkt 2.
Damit von Windows der Zugriff auf den Linux-Rechner (Samba-Server) funktioniert, muss der Server dementsprechend konfiguriert werden.

Und die Punkte 1 und 2 haben jetzt mal rein gar nichts mit Filterregeln zu tun.

Warum hast du die Rechner überhaupt in unterschiedliche Netze gehangen?

rbest · 4 Jan. 2006

guestlogin schrieb:
Punkt 2.
Damit von Windows der Zugriff auf den Linux-Rechner (Samba-Server) funktioniert, muss der Server dementsprechend konfiguriert werden.

moment mal, der Zugriff auf r1 funktioniert ja einwandfrei. Es geht um den Zugriff von r2 auf r-lap oder umgekehrt.

guestlogin schrieb:
Warum hast du die Rechner überhaupt in unterschiedliche Netze gehangen?

weil ich mir sagen liess, dass 2 Karten im server (lan und wlan) nicht funktionieren. Von r1 zu r2 habe ich eine cross-Verbindung mit 100 MBit und die Verbindung von r1 zu r-lap geht über Funk.

Anonymous · 4 Jan. 2006

rbest schrieb:
weil ich mir sagen liess, dass 2 Karten im server (lan und wlan) nicht funktionieren.

Warum nicht. Du musst Samba nur sagen auf welchen Interfaces er lauschen soll.

rbest schrieb:
moment mal, der Zugriff auf r1 funktioniert ja einwandfrei. Es geht um den Zugriff von r2 auf r-lap oder umgekehrt.

Mich würde aber trotzdem noch interessieren wie du ohne Routing auf Rechner in unterschiedlichen Netzen zugreifen willst.

rbest · 4 Jan. 2006

guestlogin schrieb:
Mich würde aber trotzdem noch interessieren wie du ohne Routing auf Rechner in unterschiedlichen Netzen zugreifen willst.

gut, jetzt hab ich folgendes in routes eingetragen:

192.168.1.0 192.168.1.100 255.255.255.0 wlan0
192.168.0.0 192.168.0.100 255.255.255.0 eth-id-00:07:e9:c0:09:6d

dann geht gar nichts mehr. Wie muss der Eintrag denn aussehen?

rbest · 4 Jan. 2006

hallo nochmal,
nach langer Suche hab ich jetzt ein Hindernis in der Firewall-Konfig gefunden: fw_allow_class_routing (oder so ähnlich - bin jetzt nicht am server) war auf "no". Hab ich auf yes gesetzt, jetzt kann ich zumindest alle Rechner anpingen. Die Namen seh ich in windows auch alle - nach wie vor. Nur geht weder von r2 r-lap auf, noch umgekehrt. Na ja, morgen wieder. Falls jemand noch einen guten Tip hat, bitte unbedingt rüberreichen. Gute N8.

rbest · 5 Jan. 2006

hallo allerseits,
ja, ich bins schon wieder

. Weil ich nicht weiterkomme, habe ich die samba.conf mal kopiert. Vielleicht könnt ihr ja dann was entdecken. Wie gesagt, ich kann alle Rechner anpingen.

Code:

# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2006/01/05 10:54:54

[global]
	ldap ssl = no
	idmap gid = 10000-20000
	include = /etc/samba/dhcp.conf
	write list = roland
	logon drive = P:
	domain master = No
	map to guest = Bad User
	null passwords = Yes
	username map = /etc/samba/smbusers
	printer admin = @ntadmin, root, administrator
	logon home = \\%L\%U\.9xprofile
	case sensitive = Yes
	cups options = raw
	idmap uid = 10000-20000
	only user = Yes
	path = /
	remote announce = 192.168.1.0/RBT 192.168.0.0/RBT
	username = roland
	logon path = \\%L\profiles\.msprofile
	workgroup = RBT
	os level = 20
	server signing = auto
	printcap name = cups
	add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
	preferred master = no

[homes]
	comment = Home Directories
	valid users = %S
	read only = No
	inherit acls = Yes
	case sensitive = No
	browseable = No
	msdfs proxy = no

[users]
	comment = All users
	path = /home
	read only = No
	inherit acls = Yes
	veto files = /aquota.user/groups/shares/

[printers]
	comment = All Printers
	path = /var/tmp
	create mask = 0600
	printable = Yes
	browseable = No

[print$]
	comment = Printer Drivers
	path = /var/lib/samba/drivers
	write list = @ntadmin, root
	force group = ntadmin
	create mask = 0664
	directory mask = 0775

[windows]
	path = /windows
	read only = No
	delete readonly = Yes

Ist irgendetwas hier faul? Bin für jeden Tip dankbar.

Frage zu Samba

rbest

Hacker

brizly

Newbie

jengelh

Guru

rbest

Hacker

rbest

Hacker

brizly

Newbie

rbest

Hacker

rbest

Hacker

brizly

Newbie

rbest

Hacker

Frankie777

Advanced Hacker

Anonymous

Gast

rbest

Hacker

Anonymous

Gast

rbest

Hacker

rbest

Hacker

rbest

Hacker