Hallo zusammen, mein Sambaserver hat zwei Netzwerkkarten. Eine für den DSL-Anschluß und eine zum internen Netz. Auf der Netzwerkkarte zum DSL-Modem sollen keine Anfragen angenommen werden, daher habe ich Samba wie folgt konfiguriert (nur die relevanten Optionen): [global] netbios name = CUBE workgroup = OS-NET server string = Samba PDC (Version %v) encrypt passwords = yes security = user passdb backend = smbpasswd domain master = yes local master = yes preferred master = yes os level = 65 domain logons = yes logon script = %u.bat # Roaming-Profiles for Windows NT/2000/XP # logon path = \\%L\profiles\%u\%m logon drive = H: # Home-Directories and Roaming-Profiles for Windows 95/98/Me # logon home = \\%L\%u\.win_profile\%m wins support = yes name resolve order = lmhosts hosts bcast dns proxy = yes time server = yes hosts deny = ALL hosts allow = 192.168.20.0/255.255.255.0 127.0.0.1 interfaces = eth1 lo socket address = 192.168.20.1 bind interfaces only = yes log level = 2 max log size = 4096 debug timestamp = yes Damit sollten nmbd und smbd nur auf eth1 (192.168.20.1/24) und lo (127.0.0.1/8) lauschen. Auf eth0 (DSL) mit der IP 192.168.254.254 sollen keine Samba-Ports geöffnet sein. Ein "netstat -tuanp|grep mbd" liefert jedoch: tcp 0 0 192.168.20.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 192.168.20.1:445 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 5145/smbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:138 0.0.0.0:* 3802/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 3802/nmbd Das heißt der UDP-Port 138 (netbios-dgm) ist auf allen Interfaces offen. Das führt nun leider dazu, daß Samba alle paar Minuten folgende Fehlermeldung per syslog liefert: Sep 24 10:09:04 cube nmbd[3802]: [2004/09/24 10:09:04, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:09:04 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:09:04 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:09:04 cube nmbd[3802]: Cannot get workgroup name. Sep 24 10:24:07 cube nmbd[3802]: [2004/09/24 10:24:07, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:24:07 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:24:07 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:24:07 cube nmbd[3802]: Cannot get workgroup name. Sep 24 10:39:10 cube nmbd[3802]: [2004/09/24 10:39:10, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:39:10 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:39:10 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:39:10 cube nmbd[3802]: Cannot get workgroup name. Installiert habe ich die aktuelleste SuSE 9.1 Samba-Version samba-3.0.4-1.32 Kann mir jemand helfen diesen Port zu schließen und die Fehlermeldungen loszuwerden? Danke, Oliver.
Oliver Stettner wrote: Hallo!
mein Sambaserver hat zwei Netzwerkkarten. Eine für den DSL-Anschluß und eine zum internen Netz.
Mutig.
[global] domain master = yes local master = yes preferred master = yes os level = 65
->1
wins support = yes name resolve order = lmhosts hosts bcast
->2
hosts deny = ALL
?
hosts allow = 192.168.20.0/255.255.255.0 127.0.0.1 interfaces = eth1 lo socket address = 192.168.20.1 bind interfaces only = yes
Damit sollten nmbd und smbd nur auf eth1 (192.168.20.1/24) und lo (127.0.0.1/8) lauschen. Auf eth0 (DSL) mit der IP 192.168.254.254 sollen keine Samba-Ports geöffnet sein.
Richtig. Tut er auch.
Ein "netstat -tuanp|grep mbd" liefert jedoch:
tcp 0 0 192.168.20.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 192.168.20.1:445 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 5145/smbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:138 0.0.0.0:* 3802/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 3802/nmbd
der einzige der ueberall offen ist, ist der nmbd (netbios name), nicht der smbd. der ist brav dicht.
Das heißt der UDP-Port 138 (netbios-dgm) ist auf allen Interfaces offen.
das voellig korrekt.
Das führt nun leider dazu, daß Samba alle paar Minuten folgende Fehlermeldung per syslog liefert:
nein, die fehlermeldung kommt daher, das du einen name resolver auf broadcast gestellt hast (siehe ->2, bcast).
domain master browser at IP 192.168.254.254 failed.
das ist ja nur die broadcast adresse.
Kann mir jemand helfen diesen Port zu schließen und die Fehlermeldungen loszuwerden?
den port solltest du ueber deinen firewall schliessen. den wirst du auf jeden fall zumachen muessen und intern die ports 139/138/445, extern keine aufmachen. Brauchst du den nmbd ueberhaupt? sonst koennte man den auch abschalten. ciao T
mein Sambaserver hat zwei Netzwerkkarten. Eine für den DSL-Anschluß und eine zum internen Netz.
Mutig.
Naja - die SuSE-Firewall läuft natürlich auch noch. Also eher feig. ;-)
[global] domain master = yes local master = yes preferred master = yes os level = 65
->1
Wolltest Du dazu noch eine Anmerkung schreiben? Ich konnte in Deiner Mail nichts dazu finden.
wins support = yes name resolve order = lmhosts hosts bcast
->2
nein, die fehlermeldung kommt daher, das du einen name resolver auf broadcast gestellt hast (siehe ->2, bcast).
domain master browser at IP 192.168.254.254 failed.
das ist ja nur die broadcast adresse.
Die Broadcast wäre die .255, die .254 ist die Adresse des Interfaces. Und laut man-page sollte "bcast" nur einen Broadcast auf den Interfaces senden, die bei "interfaces" aufgeführt sind. Ich habe jetzt mal bcast weggelassen, das brachte aber keine Änderung - immer noch kommt alle 15 Minuten die Fehlermeldung: Sep 24 10:09:04 cube nmbd[3802]: [2004/09/24 10:09:04, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:09:04 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:09:04 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:09:04 cube nmbd[3802]: Cannot get workgroup name.
hosts deny = ALL
?
Erst mal alle verbieten und dann über "hosts allow" explizit ein Netz erlauben. Ist aber sicherlich nicht notwendig.
hosts allow = 192.168.20.0/255.255.255.0 127.0.0.1 interfaces = eth1 lo socket address = 192.168.20.1 bind interfaces only = yes
Damit sollten nmbd und smbd nur auf eth1 (192.168.20.1/24) und lo (127.0.0.1/8) lauschen. Auf eth0 (DSL) mit der IP 192.168.254.254 sollen keine Samba-Ports geöffnet sein.
Richtig. Tut er auch.
Naja - ich meinte natürlich smbd und nmbd.
Ein "netstat -tuanp|grep mbd" liefert jedoch:
tcp 0 0 192.168.20.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 192.168.20.1:445 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 5145/smbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:138 0.0.0.0:* 3802/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 3802/nmbd
Das heißt der UDP-Port 138 (netbios-dgm) ist auf allen Interfaces offen.
das voellig korrekt.
Und das hätte ich eigentlich nicht erwartet bei meiner smb.conf.
den port solltest du ueber deinen firewall schliessen. den wirst du auf jeden fall zumachen muessen und intern die ports 139/138/445, extern keine aufmachen. Brauchst du den nmbd ueberhaupt? sonst koennte man den auch abschalten.
Wie gesagt, die Firewall sperrt natürlich die o.a. Ports auf dem DSL-Interface. Denm nmbd würde ich gerne als WINS laufen lassen. Viele Grüße, Oliver.
Oliver Stettner wrote:
[global] domain master = yes local master = yes preferred master = yes os level = 65
->1
Wolltest Du dazu noch eine Anmerkung schreiben? Ich konnte in Deiner Mail nichts dazu finden.
aeh, ja, genau, richtig: was mich ein wenig wundert ist, das er als domain master fungiert, aber keine antwort von sich selber erhaelt. hattest du rcnmb auch neu restartet?
wins support = yes name resolve order = lmhosts hosts bcast
->2
nein, die fehlermeldung kommt daher, das du einen name resolver auf broadcast gestellt hast (siehe ->2, bcast).
domain master browser at IP 192.168.254.254 failed.
das ist ja nur die broadcast adresse.
Die Broadcast wäre die .255, die .254 ist die Adresse des Interfaces. Und laut man-page sollte "bcast" nur einen Broadcast auf den Interfaces senden, die bei "interfaces" aufgeführt sind.
Ja, sorry. War so eine vermutung. Ich habe mit der 3er version noch nicht viel gespielt und hier macht sie diese probleme nicht.
Sep 24 10:09:04 cube nmbd[3802]: [2004/09/24 10:09:04, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:09:04 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:09:04 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:09:04 cube nmbd[3802]: Cannot get workgroup name.
Hast du einen workgroup name definiert? Was passiert wenn du nmbd mit rcnmb stop anhaelst?
udp 0 0 0.0.0.0:138 0.0.0.0:* 3802/nmbd
Das heißt der UDP-Port 138 (netbios-dgm) ist auf allen Interfaces offen.
Und das hätte ich eigentlich nicht erwartet bei meiner smb.conf.
ein bischen seltsam ist das allerdings schon. bei mir tritt das gar nicht auf, und ich habe mal versucht deine config nachzustellen.
Wie gesagt, die Firewall sperrt natürlich die o.a. Ports auf dem DSL-Interface. Denm nmbd würde ich gerne als WINS laufen lassen.
letztendlich ist das bei korrektem firewall aber auch schnuppe. weil da von aussen eh keiner rankommt. ich koennte mir vorstellen das es an der fehlenden routing faehigkeit von netbios liegt, das er auf allen interfaces lauscht. ciao T
[global] domain master = yes local master = yes preferred master = yes os level = 65
Wolltest Du dazu noch eine Anmerkung schreiben? Ich konnte in Deiner Mail nichts dazu finden.
aeh, ja, genau, richtig: was mich ein wenig wundert ist, das er als domain master fungiert, aber keine antwort von sich selber erhaelt. hattest du rcnmb auch neu restartet?
Ja - ich stoppe bei jeder Änderung erst smbd, dann nmbd und beim Starten dann umgekehrt, erst nmbd, dann smbd.
Sep 24 10:09:04 cube nmbd[3802]: [2004/09/24 10:09:04, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:09:04 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:09:04 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:09:04 cube nmbd[3802]: Cannot get workgroup name.
Hast du einen workgroup name definiert?
Ja. Samba funktioniert ja auch soweit, ich kann von den Windows-Rechnern aus auf Freigaben zugreifen und Samba fungiert als Anmelde-Server. Nur die periodischen Fehlermeldungen des nmbd müllen mein Logfile zu. Das stört mich halt. ;-)
Was passiert wenn du nmbd mit rcnmb stop anhaelst?
Der nmbd stoppt. ;-) Sep 24 15:30:10 cube nmbd[7352]: [2004/09/24 15:30:10, 0] nmbd/nmbd.c:terminate(54) Sep 24 15:30:10 cube nmbd[7352]: Got SIGTERM: going down...
udp 0 0 0.0.0.0:138 0.0.0.0:* 3802/nmbd
ein bischen seltsam ist das allerdings schon. bei mir tritt das gar nicht auf, und ich habe mal versucht deine config nachzustellen.
Bei meinem alten Server (lief damals unter SuSE 7.3) hatte ich dieses Problem auch nicht. Welche Samba-Version das war, weiß ich allerdings nicht mehr.
Wie gesagt, die Firewall sperrt natürlich die o.a. Ports auf dem DSL-Interface. Denm nmbd würde ich gerne als WINS laufen lassen.
letztendlich ist das bei korrektem firewall aber auch schnuppe. weil da von aussen eh keiner rankommt. ich koennte mir vorstellen das es an der fehlenden routing faehigkeit von netbios liegt, das er auf allen interfaces lauscht.
Naja - ich habe jetzt "interfaces = eth0 eth1 lo" in meiner smb.conf. Damit wird halt auf allen Interfaces gelauscht, aber ich bin wenigstens die Meldungen im Syslog los. Danke und Ciao, Oliver.
Am Freitag, 24. September 2004 10:59 schrieb Oliver Stettner:
Hallo zusammen,
mein Sambaserver hat zwei Netzwerkkarten. Eine für den DSL-Anschluß und eine zum internen Netz.
Auf der Netzwerkkarte zum DSL-Modem sollen keine Anfragen angenommen werden, daher habe ich Samba wie folgt konfiguriert (nur die relevanten Optionen): Hi Oliver, laut einem Artikel den ich hier gerade vor mir hab muß genau zu diesem Zweck in der [global] Sektion noch folgendes hinzugefügt werden.
interfaces = 192.168.0.0/24 bind interfaces only = Yes in wieweit das jetzt mit den von Dir schon vorgenommenen Einstellungen harmoniert kann ich nich sagen. Vieleicht einfach mal ausprobieren. Gruß Micha
[global] netbios name = CUBE workgroup = OS-NET server string = Samba PDC (Version %v) encrypt passwords = yes security = user passdb backend = smbpasswd
domain master = yes local master = yes preferred master = yes os level = 65
domain logons = yes logon script = %u.bat
# Roaming-Profiles for Windows NT/2000/XP # logon path = \\%L\profiles\%u\%m logon drive = H:
# Home-Directories and Roaming-Profiles for Windows 95/98/Me # logon home = \\%L\%u\.win_profile\%m
wins support = yes name resolve order = lmhosts hosts bcast dns proxy = yes time server = yes
hosts deny = ALL hosts allow = 192.168.20.0/255.255.255.0 127.0.0.1 interfaces = eth1 lo socket address = 192.168.20.1 bind interfaces only = yes
log level = 2 max log size = 4096 debug timestamp = yes
Damit sollten nmbd und smbd nur auf eth1 (192.168.20.1/24) und lo (127.0.0.1/8) lauschen. Auf eth0 (DSL) mit der IP 192.168.254.254 sollen keine Samba-Ports geöffnet sein.
Ein "netstat -tuanp|grep mbd" liefert jedoch:
tcp 0 0 192.168.20.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 192.168.20.1:445 0.0.0.0:* LISTEN 5145/smbd tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 5145/smbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:137 0.0.0.0:* 3802/nmbd udp 0 0 192.168.20.1:138 0.0.0.0:* 3802/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 3802/nmbd
Das heißt der UDP-Port 138 (netbios-dgm) ist auf allen Interfaces offen. Das führt nun leider dazu, daß Samba alle paar Minuten folgende Fehlermeldung per syslog liefert:
Sep 24 10:09:04 cube nmbd[3802]: [2004/09/24 10:09:04, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:09:04 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:09:04 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:09:04 cube nmbd[3802]: Cannot get workgroup name. Sep 24 10:24:07 cube nmbd[3802]: [2004/09/24 10:24:07, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:24:07 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:24:07 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:24:07 cube nmbd[3802]: Cannot get workgroup name. Sep 24 10:39:10 cube nmbd[3802]: [2004/09/24 10:39:10, 0] nmbd/nmbd_browsesync.c:get_domain_master_name_node_status_fail(485) Sep 24 10:39:10 cube nmbd[3802]: get_domain_master_name_node_status_fail: Sep 24 10:39:10 cube nmbd[3802]: Doing a node status request to the domain master browser at IP 192.168.254.254 failed. Sep 24 10:39:10 cube nmbd[3802]: Cannot get workgroup name.
Installiert habe ich die aktuelleste SuSE 9.1 Samba-Version samba-3.0.4-1.32
Kann mir jemand helfen diesen Port zu schließen und die Fehlermeldungen loszuwerden?
Danke, Oliver.
participants (3)
-
Dr. Thorsten Brandau
-
Michael Schueller
-
Oliver Stettner