[opensuse-es] Configuración del cortafuegos para samba
Hola, Estoy intentando configurar el cortafuegos en suse 10.3 para permitir la conexión a recursos samba en la red (acceder a directorios compartidos desde un servidor con w2000) pero no encuentro la forma de hacerlo y leer / interpretar las reglas de ip tables se me da bastante mal O:-) Con el cortafuegos parado funciona perfectamente, por lo que entiendo que estoy pasando algo por alto. He probado a añadir los puertos 137 y 139 en la opción de "servicios autorizados / opciones avanzadas" (tcp 137:139 y udp 137:139) pero no logro acceder desde konqueror con "smb://" me da el error "tiempo de espera agotado en el servidor" El comando "iptables -L" muestra (si hacen falta más datos los añado): ** ns ip-options prefix `SFW2-INext-ACC-TCP ' ACCEPT tcp -- anywhere anywhere tcp dpts:137:139 ACCEPT udp -- anywhere anywhere udp dpts:137:139 *** Pero cuando intento acceder, en el registro me aparece el bloqueo: *** Mar 1 22:33:23 stthpc kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx.xx.xx.xx.xx.xx.xx SRC=192.168.0.1 DST=192.168.0.151 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=23098 PROTO=UDP SPT=137 DPT=5823 LEN=70 *** Del mensaje entiendo que está bloqueando un paquete udp del equipo con w2000 (192.168.0.1) con destinto a suse (192.168.0.151). Lo que no entiendo es el valor de DPT que pone 5823... ¿necesita que esté abierto ese puerto? :-? ¿Alguna idea? Me gustaría dejar el cortafuegos iniciado pero no veo la forma de configurarlo :-/. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-01 a las 22:53 +0100, Camaleón escribió:
Estoy intentando configurar el cortafuegos en suse 10.3 para permitir la conexión a recursos samba en la red (acceder a directorios compartidos desde un servidor con w2000) pero no encuentro la forma de hacerlo y leer / interpretar las reglas de ip tables se me da bastante mal O:-)
Yo lo que hago es lo siguiente: FW_TRUSTED_NETS="... 192.168.1.2,tcp,microsoft-ds 192.168.1.2,tcp,netbios-ssn \ 192.168.1.2,udp,netbios-dgm 192.168.1.2,udp,netbios-ns \ ..." De esa manera, dado que es la interfaz "externa", me cubro de problemas en el router/cortafuegos, dejando sólo explicitamente entrar a los que deben. Si tienes que abrirlo globalmente, puede interesarte esto otro: ## Type: string # # Which services _on the firewall_ should be accessible from # untrusted networks? # # Packages can drop a configuration file that specifies all required # ports into /usr/share/SuSEfirewall2/services . That is handy for # services that require multiple ports or protocols. Enter the space # separated list of configuration files you want to load. # # Example: "samba-server nfs-server" FW_CONFIGURATIONS_EXT="" poniendo "samba-server" ahí debe estar todo solucionado. Pero no puede ser, porque ese directorio "/usr/share/SuSEfirewall2/services" no existe, pero podría ser "/etc/sysconfig/SuSEfirewall2.d/services/" que sí existe, pero no existe "samba-server" ni "nfs-server".
Con el cortafuegos parado funciona perfectamente, por lo que entiendo que estoy pasando algo por alto.
He probado a añadir los puertos 137 y 139 en la opción de "servicios autorizados / opciones avanzadas" (tcp 137:139 y udp 137:139) pero no logro acceder desde konqueror con "smb://" me da el error "tiempo de espera agotado en el servidor"
Yo es que no lo hago en el yast.
El comando "iptables -L" muestra (si hacen falta más datos los añado):
** ns ip-options prefix `SFW2-INext-ACC-TCP ' ACCEPT tcp -- anywhere anywhere tcp dpts:137:139 ACCEPT udp -- anywhere anywhere udp dpts:137:139 ***
Pero cuando intento acceder, en el registro me aparece el bloqueo:
*** Mar 1 22:33:23 stthpc kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx.xx.xx.xx.xx.xx.xx SRC=192.168.0.1 DST=192.168.0.151 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=23098 PROTO=UDP SPT=137 DPT=5823 LEN=70 ***
¿En el "receptor"? Que raro.
Del mensaje entiendo que está bloqueando un paquete udp del equipo con w2000 (192.168.0.1) con destinto a suse (192.168.0.151). Lo que no entiendo es el valor de DPT que pone 5823... ¿necesita que esté abierto ese puerto? :-?
Es un rango sin asignar: # 5815-5858 Unassigned eso puede ser una conexión que estaba a mitad cuando activaste el cortafuegos :-? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyelJtTMYHG2NR9URAiTXAKCL3n5Mnh5uZx/G+ca/Rmg+h98rwgCeKwYV if8/awDC3bB8NJZTnSTVSPI= =9C0v -----END PGP SIGNATURE-----
El 2/03/08, Carlos E. R. escribió:
Yo lo que hago es lo siguiente:
FW_TRUSTED_NETS="... 192.168.1.2,tcp,microsoft-ds 192.168.1.2,tcp,netbios-ssn \ 192.168.1.2,udp,netbios-dgm 192.168.1.2,udp,netbios-ns \ ..."
De esa manera, dado que es la interfaz "externa", me cubro de problemas en el router/cortafuegos, dejando sólo explicitamente entrar a los que deben.
Voy a seguir haciendo pruebas, pero acabo de acceder al recurso especificando la IP en lugar del nombre del equipo con el cortafuegos iniciado y sin ningún puerto abierto y ha conectado :-? No lo entiendo... por IP sí y por nombre no. Pues algo de netbios tiene mal el cortafuegos, no lo sé, la verdad. De todas, formas el cortafuegos debería bloquearlo ¿no?.
FW_CONFIGURATIONS_EXT=""
poniendo "samba-server" ahí debe estar todo solucionado.
SuSE actúa como cliente, se conecta a un servidor w2000. Permitiendo el servicio "servidor samba" desde el cortafuegos tampoco me dejaba conectar.
Yo es que no lo hago en el yast.
:-) Eso es un bypass en toda regla.
¿En el "receptor"? Que raro.
SuSE es cliente en este caso.
Es un rango sin asignar:
# 5815-5858 Unassigned
eso puede ser una conexión que estaba a mitad cuando activaste el cortafuegos :-?
Pues no sé, es un puerto que cambia, por ejemplo, hoy pone: *** Mar 2 11:10:39 stthpc kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx:xx:xx:xx:xx SRC=192.168.0.1 DST=192.168.0.151 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=12489 PROTO=UDP SPT=137 DPT=1225 LEN=70 *** Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-02 a las 11:48 +0100, Camaleón escribió:
El 2/03/08, Carlos E. R. escribió:
Yo lo que hago es lo siguiente:
FW_TRUSTED_NETS="... 192.168.1.2,tcp,microsoft-ds 192.168.1.2,tcp,netbios-ssn \ 192.168.1.2,udp,netbios-dgm 192.168.1.2,udp,netbios-ns \ ..."
De esa manera, dado que es la interfaz "externa", me cubro de problemas en el router/cortafuegos, dejando sólo explicitamente entrar a los que deben.
Voy a seguir haciendo pruebas, pero acabo de acceder al recurso especificando la IP en lugar del nombre del equipo con el cortafuegos iniciado y sin ningún puerto abierto y ha conectado :-?
No lo entiendo... por IP sí y por nombre no. Pues algo de netbios tiene mal el cortafuegos, no lo sé, la verdad. De todas, formas el cortafuegos debería bloquearlo ¿no?.
Intentará averiguar el nombre windows interrogando la red, y no lo encuentra.
FW_CONFIGURATIONS_EXT=""
poniendo "samba-server" ahí debe estar todo solucionado.
SuSE actúa como cliente, se conecta a un servidor w2000. Permitiendo el servicio "servidor samba" desde el cortafuegos tampoco me dejaba conectar.
Mmmm.
Yo es que no lo hago en el yast.
:-) Eso es un bypass en toda regla.
Hace años que no lo uso para eso. El fichero está muy bien documentado y es accesible, así que paso del Yast que no sé lo que hace.
¿En el "receptor"? Que raro.
SuSE es cliente en este caso.
Es un rango sin asignar:
# 5815-5858 Unassigned
eso puede ser una conexión que estaba a mitad cuando activaste el cortafuegos :-?
Pues no sé, es un puerto que cambia, por ejemplo, hoy pone:
*** Mar 2 11:10:39 stthpc kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx:xx:xx:xx:xx SRC=192.168.0.1 DST=192.168.0.151 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=12489 PROTO=UDP SPT=137 DPT=1225 LEN=70 ***
Eso tiene la pinta de ser la segunda parte de una conexión establecida. El DPT se define dinámicamente. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyo2ltTMYHG2NR9URAlpXAKCWefmLmolURnhkL3gMI7XTnP/6rACfR7e+ kE+3MgsrOz7vPdqz3Pp8mck= =dxYh -----END PGP SIGNATURE-----
El 2/03/08, Camaleón escribió:
Voy a seguir haciendo pruebas, pero acabo de acceder al recurso especificando la IP en lugar del nombre del equipo con el cortafuegos iniciado y sin ningún puerto abierto y ha conectado :-?
Pues no doy con la tecla. He tirado de Midnight Commander y la edición manual del archivo de /etc/sysconfig/SuSEfirewall2 pero sigue sin dejarme acceder si uso el nombre del equipo... He probado con (todo en la misma línea): FW_TRUSTED_NETS="192.168.0.1,tcp,microsoft-ds 192.168.0.1,tcp,netbios-ssn 192.168.0.1,udp,netbios-dgm 192.168.0.1,udp,netbios-ns" Pero nada. 192.168.0.1 es el servidor con w2000 al quiero acceder desde suse. Y he probado con: FW_SERVICES_EXT_TCP="135 139" FW_SERVICES_EXT_UDP="137 138" Y tampoco :-( ¿Deberían estar especificados ambos al tiempo? Me refiero a FW_SERVICES_EXT_TCP/UDP y a FW_TRUSTED_NETS ¿Alguna otra idea? Si accedo por ip sí puedo entrar sin necesidad de configurar ninguna regla: smb://192.168.0.1 Y con el cortafuegos parado puedo entrar especificando el nombre del equipo: smb://nombre_equipo :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/08, Camaleón escribió:
Pues no doy con la tecla.
Ya está :-) Por algún motivo funciona con añadir sólo: FW_TRUSTED_NETS="192.168.0.1" Debe de hacer uso de algún puerto adicional más que los definidos antes, no sé :-?. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 2/03/08, Camaleón escribió:
Pues no doy con la tecla.
Ya está :-)
Por algún motivo funciona con añadir sólo:
FW_TRUSTED_NETS="192.168.0.1"
Claro, pero le estás dando carta blanca total. Es mejor que abrir todo el corafuegos, pero puede ser un coladero.
Debe de hacer uso de algún puerto adicional más que los definidos antes, no sé :-?.
Algo referente a los nombres. Deberían ser estos tres: netbios-ns 137/tcp # NETBIOS Name Service netbios-ns 137/udp # NETBIOS Name Service netbios-dgm 138/tcp # NETBIOS Datagram Service netbios-dgm 138/udp # NETBIOS Datagram Service netbios-ssn 139/tcp # NETBIOS Session Service netbios-ssn 139/udp # NETBIOS Session Service Pusiste: FW_TRUSTED_NETS="192.168.0.1,tcp,microsoft-ds 192.168.0.1,tcp,netbios-ssn 192.168.0.1,udp,netbios-dgm 192.168.0.1,udp,netbios-ns" Ah, hay más. Veamos: microsoft-ds 445/tcp # Microsoft-DS microsoft-ds 445/udp # Microsoft-DS Pues todavía puedes añadir entradas en esa linea. La cuestión sería ver cual está bloqueado, debería salir en el log. Creo que el 137 no se registra. Si encontraramos ese fichero de configuración que está referido pero que no existe... ahí se podría ver que es lo que abren ellos. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyvrttTMYHG2NR9URAnUDAJ492YVIRn6uWd1URnf+HwBk5QsonACbByYZ DxTPxNXlwp/6k2lO5IbNYQE= =4yZf -----END PGP SIGNATURE-----
El 2/03/08, Carlos E. R. escribió:
Claro, pero le estás dando carta blanca total. Es mejor que abrir todo el corafuegos, pero puede ser un coladero.
Grrr... pero es que no me deja de otra forma.
Algo referente a los nombres.
Deberían ser estos tres:
netbios-ns 137/tcp # NETBIOS Name Service netbios-ns 137/udp # NETBIOS Name Service netbios-dgm 138/tcp # NETBIOS Datagram Service netbios-dgm 138/udp # NETBIOS Datagram Service netbios-ssn 139/tcp # NETBIOS Session Service netbios-ssn 139/udp # NETBIOS Session Service
Pusiste:
FW_TRUSTED_NETS="192.168.0.1,tcp,microsoft-ds 192.168.0.1,tcp,netbios-ssn 192.168.0.1,udp,netbios-dgm 192.168.0.1,udp,netbios-ns"
Ah, hay más. Veamos:
microsoft-ds 445/tcp # Microsoft-DS microsoft-ds 445/udp # Microsoft-DS
Bueno, creo que el 445 no es necesario... pero venga, he probado con lo siguiente (en lugar de nombres, puertos): FW_TRUSTED_NETS="192.168.0.1,tcp,137 192.168.0.1,tcp,138 192.168.0.1,tcp,139 192.168.0.1,tcp,445 192.168.0.1,udp,137 192.168.0.1,udp,138 192.168.0.1,udp,139 192.168.0.1,udp,445" ¡Pero sigue dando error! ¿Qué puerto quiere? :-/
Pues todavía puedes añadir entradas en esa linea. La cuestión sería ver cual está bloqueado, debería salir en el log. Creo que el 137 no se registra.
Al acceder, me sigue dando el mismo error: *** Mar 2 20:54:06 stthpc kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx:xx:xx:xx:xx SRC=192.168.0.1 DST=192.168.0.151 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=37745 PROTO=UDP SPT=137 DPT=5125 LEN=70 ***
Si encontraramos ese fichero de configuración que está referido pero que no existe... ahí se podría ver que es lo que abren ellos.
De momento lo dejo con la ip del servidor para poder acceder, pero si te ocurre alguna otra cosa lo pruebo, no hay problema (he dejado la línea comentada). Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/08, Camaleón escribió:
Grrr... pero es que no me deja de otra forma.
Ahora sí O:-) He añadido a /etc/hosts la ip y el nombre del servidor y ya, ejem, funciona. Es más, no hay necesidad de abrir ningún puerto en el cortafuegos, lo he dejado como estaba: FW_TRUSTED_NETS="" Cosas veredes... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/08, Camaleón
El 2/03/08, Camaleón escribió:
Grrr... pero es que no me deja de otra forma.
Ahora sí O:-)
He añadido a /etc/hosts la ip y el nombre del servidor y ya, ejem, funciona.
Es más, no hay necesidad de abrir ningún puerto en el cortafuegos, lo he dejado como estaba:
FW_TRUSTED_NETS=""
Cosas veredes...
No es un poco peligroso ese seteo? No es mejor setearlo con el Yast, en "Demilitarized Zone" y en la sección "Allowed services" seleccionar "Samba server"? Salu2 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-02 a las 19:40 -0200, Juan Erbes escribió:
El 2/03/08, Camaleón <> escribió:
El 2/03/08, Camaleón escribió:
Grrr... pero es que no me deja de otra forma.
Ahora sí O:-)
He añadido a /etc/hosts la ip y el nombre del servidor y ya, ejem, funciona.
Es más, no hay necesidad de abrir ningún puerto en el cortafuegos, lo he dejado como estaba:
FW_TRUSTED_NETS=""
Cosas veredes...
No es un poco peligroso ese seteo?
Para nada: date cuenta que tiene el cortafuegos cerrado. FW_TRUSTED_NETS está quitado.
No es mejor setearlo con el Yast, en "Demilitarized Zone" y en la sección "Allowed services" seleccionar "Samba server"?
La zona desmilitarizada es una red aparte. Para usarla necesitas un ordenador que haga de router con tres puertos ethernet: externo, interno, y dmz. Una vez que tienes una red dmz, pones ordenadores en ella. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyyD7tTMYHG2NR9URApp5AJsHco86SzmuazKM8DmUbDvPfHfELwCfbYgv EdIt9qmE3BkHabvbut1ZPDs= =tBUe -----END PGP SIGNATURE-----
El 2/03/08, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-03-02 a las 19:40 -0200, Juan Erbes escribió:
El 2/03/08, Camaleón <> escribió:
El 2/03/08, Camaleón escribió:
Grrr... pero es que no me deja de otra forma.
Ahora sí O:-)
He añadido a /etc/hosts la ip y el nombre del servidor y ya, ejem, funciona.
Es más, no hay necesidad de abrir ningún puerto en el cortafuegos, lo he dejado como estaba:
FW_TRUSTED_NETS=""
Cosas veredes...
No es un poco peligroso ese seteo?
Para nada: date cuenta que tiene el cortafuegos cerrado. FW_TRUSTED_NETS está quitado.
No es mejor setearlo con el Yast, en "Demilitarized Zone" y en la sección "Allowed services" seleccionar "Samba server"?
La zona desmilitarizada es una red aparte. Para usarla necesitas un ordenador que haga de router con tres puertos ethernet: externo, interno, y dmz. Una vez que tienes una red dmz, pones ordenadores en ella.
De hecho el pc en cuestión, está haciendo de router, y si no me equivoco, no hacen falta los 3 puertos ethernet. si ahora está usando 1 solo puerto, con añadir uno mas y asignarlo como zona desmilitarizada a samba, ya es sufiiciente. Además, cualquier mobo decente de hoy en dia, ya trae 2 puertos ethernet integrados. Salu2 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/08, Juan Erbes escribió:
No es un poco peligroso ese seteo?
¿Peligroso? Así es cómo está nada más instalar suse si se activa el cortafuegos :-?
No es mejor setearlo con el Yast, en "Demilitarized Zone" y en la sección "Allowed services" seleccionar "Samba server"?
Pues no sé, pero no quiero jugar con las zonas, sólo tengo un adaptador de red y no quiero líos... El problema es que no es "samba-server", porque suse no actúa como servidor sino como cliente y al menos, en la zona externa (donde está configurado eth0) al seleccionar esa opción no funcionaba :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/08, Camaleón
El 2/03/08, Juan Erbes escribió:
No es un poco peligroso ese seteo?
¿Peligroso?
Así es cómo está nada más instalar suse si se activa el cortafuegos :-?
No es mejor setearlo con el Yast, en "Demilitarized Zone" y en la sección "Allowed services" seleccionar "Samba server"?
Pues no sé, pero no quiero jugar con las zonas, sólo tengo un adaptador de red y no quiero líos...
El problema es que no es "samba-server", porque suse no actúa como servidor sino como cliente y al menos, en la zona externa (donde está configurado eth0) al seleccionar esa opción no funcionaba :-?
Ups! Como hablabas de samba y de w2k, entendi al vesre. Entonces, porque hablas de samba, si no hay ningun servidor samba? Que clase de red tiene el w2k? Si es active directory, tienes un documento sobre el tema en: http://es.opensuse.org/Active_Directory_Integracion Salu2 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/08, Juan Erbes escribió:
Como hablabas de samba y de w2k, entendi al vesre. Entonces, porque hablas de samba, si no hay ningun servidor samba?
Porque accedo a los recursos del servidor vía samba (smb://), quizá lo expliqué mal O:-).
Que clase de red tiene el w2k?
Grupo de trabajo sencillo. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El problema es que no es "samba-server", porque suse no actúa como servidor sino como cliente y al menos, en la zona externa (donde está configurado eth0) al seleccionar esa opción no funcionaba :-?
epa, aqui si opino, no en vano me he leido tanto de samba, en una red windows, todas..TODAS las maquinas actuan como clientes, y como servidores, entonces si tu maquina es un cliente también es servidor (por eso yast marca solo para samba-server y no para samba-client(que no existe)) por lo que marcar samba-server en el cortafuegos no esta mal Jaime V ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/3/3, Jaime Velez:
epa, aqui si opino, no en vano me he leido tanto de samba, en una red windows, todas..TODAS las maquinas actuan como clientes, y como servidores, entonces si tu maquina es un cliente también es servidor (por eso yast marca solo para samba-server y no para samba-client(que no existe)) por lo que marcar samba-server en el cortafuegos no esta mal
Cliente o servidor es difícil de decir, sí. Cuando digo cliente me refiero a que no tiene en ejecución los daemons de "smb" ni "nmb" ni tampoco tiene al paquete de samba instalado ni por tanto tiene una configuración definida en /etc/samba/smb.conf ni comparte ningún recurso. O:-) Y bueno, ni aún permitiendo en el cortafuegos el servicio "servidor samba" funcionaba... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 2/03/08, Camaleón escribió:
Grrr... pero es que no me deja de otra forma.
Ahora sí O:-)
He añadido a /etc/hosts la ip y el nombre del servidor y ya, ejem, funciona.
Es más, no hay necesidad de abrir ningún puerto en el cortafuegos, lo he dejado como estaba:
FW_TRUSTED_NETS=""
Cosas veredes...
Vaya... pues entonces lo que falla es el protocolo del windows de averiguación de nombres de las máquinas. En windows las máquinas se ponen nombres a sí mismas, y lo divulgan por la red (¡eh! que me llamo fulanito y estoy en tal IP). También puede haber un servidor en la red, no se si se llama wins, que se encarga de recoger esa información y dársela a quien lo pida. Lo que no sé es qué puertos necesita abiertos. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyyEftTMYHG2NR9URAvQGAJ4yObkcjwlecjkeBAGTn49ZaI77hQCfZMco 8X2kmCwZ3HmlPuRJarxY8q4= =L46i -----END PGP SIGNATURE-----
El 2/03/08, Carlos E. R. escribió:
Vaya... pues entonces lo que falla es el protocolo del windows de averiguación de nombres de las máquinas.
Lo que me extraña es que no haberlo visto comentado por los foros porque entiendo que es una configuración bastante habitual... No me extraña que la gente opte por desactivar el cortafuegos >:-)
En windows las máquinas se ponen nombres a sí mismas, y lo divulgan por la red (¡eh! que me llamo fulanito y estoy en tal IP). También puede haber un servidor en la red, no se si se llama wins, que se encarga de recoger esa información y dársela a quien lo pida.
Hum... wins no hay en la red. Lo que sí hay es otra suse 10.1 con samba de cliente/servidor que se auto-impone al w2000 como "local master browser" :-?
Lo que no sé es qué puertos necesita abiertos.
Ejecuté en el w2000 un "netstat -ap tcp" y "netstat -ap udp" pero sólo veía el puerto tcp 139 a la escucha :-? Y en el registro de seguridad de w2000 poco se ve... Saludos, -- Camaleón =��u��y��jV���+��"�f�u맙��j7������zϮ�˛���m�)z{.��+���j��zw�zZ�yثy�"�w�r����&jw^�y��ƣy�)z{.������^�ˬz��
??----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-02 a las 23:45 +0100, Camaleón escribió:
El 2/03/08, Carlos E. R. escribió:
Vaya... pues entonces lo que falla es el protocolo del windows de averiguación de nombres de las máquinas.
Lo que me extraña es que no haberlo visto comentado por los foros porque entiendo que es una configuración bastante habitual... No me extraña que la gente opte por desactivar el cortafuegos >:-)
Claro. Yo no lo tengo muy estudiado porque el windows de mi otro pc es muy antiguo, no le funciona la red, y no me he currado el arreglarlo. Total, no lo uso en windows... El samba lo tengo por el cacharrín, y es un linux 2.4. Así que no he podido estudiar esa interacción en detalle. Lo que sí verás por los foros es esa pregunta habitualmente.
En windows las máquinas se ponen nombres a sí mismas, y lo divulgan por la red (¡eh! que me llamo fulanito y estoy en tal IP). También puede haber un servidor en la red, no se si se llama wins, que se encarga de recoger esa información y dársela a quien lo pida.
Hum... wins no hay en la red. Lo que sí hay es otra suse 10.1 con samba de cliente/servidor que se auto-impone al w2000 como "local master browser" :-?
Me parece que es eso. Mira en el log si hay entradas fallutas desde esa máquina.
Lo que no sé es qué puertos necesita abiertos.
Ejecuté en el w2000 un "netstat -ap tcp" y "netstat -ap udp" pero sólo veía el puerto tcp 139 a la escucha :-? Y en el registro de seguridad de w2000 poco se ve...
Es que es saliente. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyzNutTMYHG2NR9URAoORAJ9psEHshSx8OZ024UggMDrSaB9M2wCeLuZD u/bB6rQctwoxZWs2qMljAu0= =5FIg -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 2/03/08, Carlos E. R. escribió:
Claro, pero le estás dando carta blanca total. Es mejor que abrir todo el corafuegos, pero puede ser un coladero.
Grrr... pero es que no me deja de otra forma.
Ya lo se.
Ah, hay más. Veamos:
microsoft-ds 445/tcp # Microsoft-DS microsoft-ds 445/udp # Microsoft-DS
Bueno, creo que el 445 no es necesario... pero venga, he probado con lo siguiente (en lugar de nombres, puertos):
Me gusta más los nombres, sé de que hablan entonces. Claro, que los reportes del cortafuegos van en numeros.
FW_TRUSTED_NETS="192.168.0.1,tcp,137 192.168.0.1,tcp,138 192.168.0.1,tcp,139 192.168.0.1,tcp,445 192.168.0.1,udp,137 192.168.0.1,udp,138 192.168.0.1,udp,139 192.168.0.1,udp,445"
¡Pero sigue dando error! ¿Qué puerto quiere? :-/
Pues...
Al acceder, me sigue dando el mismo error:
*** Mar 2 20:54:06 stthpc kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xx:xx:xx:xx:xx SRC=192.168.0.1 DST=192.168.0.151 LEN=90 TOS=0x00 PREC=0x00 TTL=128 ID=37745 PROTO=UDP SPT=137 DPT=5125 LEN=70 ***
Si no ves más registro que ese, lo único que se me ocurre es seguir la conexión con ethereal, que ahora se llama... wireshark. Activalo para que trace todo lo que viene de esa IP, a ver si ves algo. ¿No tendrás un servidor wins, creo que se llama, en la red, y está bloqueado? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyxymtTMYHG2NR9URAtxfAJ9f9zGlqD4+ZS6/sC0QXP7IrC8baACgkbrd IDrjVtoaN+HArROJZOhvAIA= =NGBL -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-03-02 a las 17:07 +0100, Camaleón escribió:
¿Deberían estar especificados ambos al tiempo? Me refiero a FW_SERVICES_EXT_TCP/UDP y a FW_TRUSTED_NETS
No. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHyvhftTMYHG2NR9URAsn2AJsHi8wWIPhC8sa63xvfFfh8NHdbCQCgiZfd MFMtN0Pc16dVqarrmJsPwTY= =mKh3 -----END PGP SIGNATURE-----
participants (4)
-
Camaleón
-
Carlos E. R.
-
Jaime Velez
-
Juan Erbes