[gelöst] Samba,2 Netzwerkkarten & Firewall

Knappe · 21 Sep. 2006

Mein Samba-Server läuft schon sein Monaten.

Nun habe ich eine 2.´te Netzkarte im Server aktiviert und seitdem nur Probleme beim Zugriff von WinXP-Clients :

1. Karte --> eth0 --> interne Zone
2. karte --> eth1 --> externe Zone

entsprechend auch meine /etc/sysconfig/SuSEfirewall2 konfiguriert (masquerading) :

FW_DEV_EXT="eth-id-00:40:f4:b6:0b:f2"
FW_DEV_INT="eth-id-00:14:85:39:7d:be"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="10000 10001 10082 10083 21 444 446 6566 6567 953 993 epmap http https imap imaps microsoft-ds netbios-ns netbios-ssn"
FW_SERVICES_EXT_UDP="10000 10001 6566 6567 901 bootpc microsoft-ds netbios-dgm netbios-ns netbios-ssn"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="samba"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC="mountd nfs nfs_acl"
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT="netbios-ns netbios-dgm"
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV="eth0,576"
FW_IPv6="no"
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES=""

Auszug von ifconfig :

eth0 Protokoll:Ethernet Hardware Adresse 00:14:85:39:7D:BE
inet Adresse:192.168.2.1 Bcast:192.168.2.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5247 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:252 overruns:0 carrier:0
collisions:0 SendewarteschlangenlÃ¤nge:1000
RX bytes:375979 (367.1 Kb) TX bytes:0 (0.0 b)
Interrupt:225 Basisadresse:0xc000

eth1 Protokoll:Ethernet Hardware Adresse 00:40:F4:B6:0B:F2
inet Adresse:192.168.1.2 Bcast:192.168.1.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:116475 errors:0 dropped:0 overruns:0 frame:0
TX packets:110535 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 SendewarteschlangenlÃ¤nge:1000
RX bytes:86766627 (82.7 Mb) TX bytes:87206119 (83.1 Mb)
Interrupt:66 Basisadresse:0x4000

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:54553 errors:0 dropped:0 overruns:0 frame:0
TX packets:54553 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 SendewarteschlangenlÃ¤nge:0
RX bytes:16046129 (15.3 Mb) TX bytes:16046129 (15.3 Mb)

Wird die Firewall ausgeschaltet --> läufts :

Dann habe ich mehrere Varianten probiert bis ich dahinter gekommen bin, dass bei

Code:

YaST / Firewall / Erlaubte Dienste / Externe Zone

Samba hinterlegt werden muss.

In diesem Fall klappt der Zugriff von den WinXP-Clients.

Nur :
wie schon oben genannt (und durch ipfconfig bestätigt) ist eth0 als interne
Zone definiert und in dieser sind überhaupt keine Blockaden definiert. Demzufolge müsste doch ein problemloser Zugriff aus dem internen Netz möglich sein ? :roll:

Wieso muss ich Samba jetzt "doch" in der "Externen Zone" freigeben (Sicherheitsloch :evil: ) ?

Knappe · 21 Sep. 2006

Hat sich geklärt :

war ein Fehler in der Routing-Tabelle. Daher war die Netzwerkkarte für die interne Zone auch der externen Zone zugeordnet.

Somit war "samba" als Dienst für beide Zonen aktiviert

evil

.

Nach Korrektur alles in Ordnung.

[gelöst] Samba,2 Netzwerkkarten & Firewall

Knappe

Hacker

Knappe

Hacker