Re: Firewall und Samba auf SuSE 8.0
Hallo Marcel, Marcel Stein schrieb:
Hallo!
mein Problem in Kurz: Firewall und Samba vertragen sich nicht!
(...snip...>
Es gibt in /etc/suseconfig eine option in network/firewall/susefirewall die samba anschaltet in einer firewall konfig.
Deine Bemerkung gab mir zumindest schon einmal den Anstoß, nach was anderem als ip_tables oder ipchains zu suchen, denn es ist mir nicht klar, welche Programmpakete durch die Installation von "Firewall" wirklich gestartet werden. Leider habe ich aber im Verzeichnis /etc/SuSEconf nicht den von Dir erwähnten Pfad auf eine firewall.conf gefunden; auch ein find / -name fire*.conf -print und ps ax |grep *fire* blieben negativ. Ich habe lediglich unter /etc/sysconfig eine Konfigurationsdatei SuSEfirewall2 gefunden, die aber ein altes Datum hatte. Dort habe ich in Zeile 341 den Parameter FW_SERVICE_SAMBA="yes" gesetzt und dann Firewall und den ganzen Server neu gestartet. Das Ergebnis ist leider unverändert, der Client kommt nicht auf das mit SAMBA freigegebene laufwerk drauf. Bin ich das falsch angegangen oder habe ich noch etwas vergessen? Danke & Gruß für Anstöße, Daniel Letzte Meldungen aus der /var/log/messages (danch läuft Samba): =============================================================== tail -50 /var/log/messages Jun 10 22:29:32 congo squid[1141]: Could not find any nameservers. Please check your /etc/resolv.conf file or use the 'dns_nameservers' option in squid.conf. Jun 10 22:29:32 congo squid[1139]: Squid Parent: child process 1141 exited due t o signal 6 Jun 10 22:29:35 congo modprobe: modprobe: Can't locate module char-major-10-134 Jun 10 22:29:35 congo squid[1464]: Starting Squid Cache version 2.4.STABLE3 for i686-pc-linux-gnu... Jun 10 22:29:35 congo squid[1464]: Process ID 1464 Jun 10 22:29:35 congo squid[1464]: With 4096 file descriptors available Jun 10 22:29:35 congo squid[1464]: DNS Socket created on FD 5 Jun 10 22:29:35 congo squid[1464]: Could not find any nameservers. Please check your /etc/resolv.conf file or use the 'dns_nameservers' option in squid.conf. Jun 10 22:29:35 congo squid[1139]: Squid Parent: child process 1464 started Jun 10 22:29:35 congo squid[1139]: Squid Parent: child process 1464 exited due t o signal 6 Jun 10 22:29:35 congo nmbd[1116]: [2003/06/10 22:29:35, 0] nmbd/nmbd_responserec ordsdb.c:find_response_record(237) Jun 10 22:29:35 congo nmbd[1116]: find_response_record: response packet id 157 54 received with no matching record. Jun 10 22:29:35 congo nmbd[1116]: [2003/06/10 22:29:35, 0] nmbd/nmbd_responserec ordsdb.c:find_response_record(237) Jun 10 22:29:35 congo nmbd[1116]: find_response_record: response packet id 157 55 received with no matching record. Jun 10 22:29:36 congo /etc/hotplug/net.agent[998]: No HW description found ... e xiting Jun 10 22:29:36 congo SuSEfirewall2: Firewall rules successfully set from /etc/s ysconfig/SuSEfirewall2 Jun 10 22:29:37 congo kernel: eth0: no IPv6 routers present Jun 10 22:29:38 congo squid[1139]: Squid Parent: child process 1732 started Jun 10 22:29:38 congo squid[1732]: Starting Squid Cache version 2.4.STABLE3 for i686-pc-linux-gnu... Jun 10 22:29:38 congo squid[1732]: Process ID 1732 Jun 10 22:29:38 congo squid[1732]: With 4096 file descriptors available Jun 10 22:29:38 congo squid[1732]: DNS Socket created on FD 5 Jun 10 22:29:38 congo squid[1732]: Could not find any nameservers. Please check your /etc/resolv.conf file or use the 'dns_nameservers' option in squid.conf. Jun 10 22:29:38 congo squid[1139]: Squid Parent: child process 1732 exited due t o signal 6 Jun 10 22:29:41 congo squid[1139]: Squid Parent: child process 1734 started Jun 10 22:29:41 congo squid[1734]: Starting Squid Cache version 2.4.STABLE3 for i686-pc-linux-gnu... Jun 10 22:29:41 congo squid[1734]: Process ID 1734 Jun 10 22:29:41 congo squid[1734]: With 4096 file descriptors available Jun 10 22:29:41 congo squid[1734]: DNS Socket created on FD 5 Jun 10 22:29:41 congo squid[1734]: Could not find any nameservers. Please check your /etc/resolv.conf file or use the 'dns_nameservers' option in squid.conf. Jun 10 22:29:41 congo squid[1139]: Squid Parent: child process 1734 exited due t o signal 6 Jun 10 22:29:44 congo squid[1736]: Starting Squid Cache version 2.4.STABLE3 for i686-pc-linux-gnu... Jun 10 22:29:44 congo squid[1736]: Process ID 1736 Jun 10 22:29:44 congo squid[1736]: With 4096 file descriptors available Jun 10 22:29:44 congo squid[1736]: DNS Socket created on FD 5 Jun 10 22:29:44 congo squid[1736]: Could not find any nameservers. Please check your /etc/resolv.conf file or use the 'dns_nameservers' option in squid.conf. Jun 10 22:29:44 congo squid[1139]: Squid Parent: child process 1736 started Jun 10 22:29:44 congo squid[1139]: Squid Parent: child process 1736 exited due t o signal 6 Jun 10 22:29:44 congo squid[1139]: Exiting due to repeated, frequent failures Jun 10 22:30:15 congo kdm[1371]: pam_unix2: session started for user daniel, ser vice xdm Jun 10 22:33:17 congo modprobe: modprobe: Can't locate module char-major-10-134 Jun 10 22:33:33 congo su: (to root) daniel on /dev/pts/1 Jun 10 22:33:33 congo su: pam_unix2: session started for user root, service su Jun 10 22:35:17 congo nmbd[1116]: [2003/06/10 22:35:17, 0] nmbd/nmbd_become_lmb. c:become_local_master_stage2(404) Jun 10 22:35:17 congo nmbd[1116]: ***** Jun 10 22:35:17 congo nmbd[1116]: Jun 10 22:35:17 congo nmbd[1116]: Samba name server CONGO is now a local maste r browser for workgroup ARBEITSGRUPPE on subnet 192.168.1.1 Jun 10 22:35:17 congo nmbd[1116]: Jun 10 22:35:17 congo nmbd[1116]: ***** Jun 10 22:49:25 congo -- MARK -- congo:/etc/sysconfig #
daniel kuesgen schrieb:
Ich habe lediglich unter /etc/sysconfig eine Konfigurationsdatei SuSEfirewall2 gefunden, die aber ein altes Datum hatte. Dort habe ich in Zeile 341 den Parameter FW_SERVICE_SAMBA="yes" gesetzt und dann Firewall und den ganzen Server neu gestartet.
Hi Daniel, bei mir reichte das nicht, erst als ich den Port 139 explizit freigeschaltet hatte funktionierte es (Abschnitt 9: FW_SERVICES_INT_TCP="139" - wenn dort schon etwas eingetragen ist, Nummern mit Leerzeichen trennen: "53 80 139 1024"). FW_DEV_INT="[Interface zum internen Netzwerk, bei mir z.B. eth1]" im 3. Abschnitt hast Du sicher schon gesetzt.
Das Ergebnis ist leider unverändert, der Client kommt nicht auf das mit SAMBA freigegebene laufwerk drauf.
War bei mir genauso. gruß, bl
Hallo Ihr beiden, Bernhard Lindenau schrieb:
daniel kuesgen schrieb:
Ich habe lediglich unter /etc/sysconfig eine Konfigurationsdatei SuSEfirewall2 gefunden, die aber ein altes Datum hatte. Dort habe ich in Zeile 341 den Parameter FW_SERVICE_SAMBA="yes" gesetzt und dann Firewall und den ganzen Server neu gestartet.
Hi Daniel,
bei mir reichte das nicht, erst als ich den Port 139 explizit freigeschaltet hatte funktionierte es (Abschnitt 9: FW_SERVICES_INT_TCP="139" - wenn dort schon etwas eingetragen ist, Nummern mit Leerzeichen trennen: "53 80 139 1024"). FW_DEV_INT="[Interface zum internen Netzwerk, bei mir z.B. eth1]" im 3. Abschnitt hast Du sicher schon gesetzt.
schaltet auch den port 137 auch frei! und vor allem tcp _und_ udp !! dann kurz die firewall reloaden / restarten und den Verbindungstest mit Namensauflöszung etc aus den samba-howtos abtesten... cheers Peter
peter grotz schrieb:
Hallo Ihr beiden,
Bernhard Lindenau schrieb:
daniel kuesgen schrieb:
Ich habe lediglich unter /etc/sysconfig eine Konfigurationsdatei SuSEfirewall2 gefunden, die aber ein altes Datum hatte. Dort habe ich in Zeile 341 den Parameter FW_SERVICE_SAMBA="yes" gesetzt und dann Firewall und den ganzen Server neu gestartet.
Hi Daniel,
bei mir reichte das nicht, erst als ich den Port 139 explizit freigeschaltet hatte funktionierte es (Abschnitt 9: FW_SERVICES_INT_TCP="139" - wenn dort schon etwas eingetragen ist, Nummern mit Leerzeichen trennen: "53 80 139 1024"). FW_DEV_INT="[Interface zum internen Netzwerk, bei mir z.B. eth1]" im 3. Abschnitt hast Du sicher schon gesetzt.
schaltet auch den port 137 auch frei! und vor allem tcp _und_ udp !!
Tatsächlich habe ich nur den 139 in FW_SERVICES_INT_TCP freigeschaltet und es funzte - vielleicht schaltet FW_SERVICE_SAMBA="yes" den 137 in beiden Protokollen frei (was doch eigentlich auch so sein sollte - und die Frage aufwirft, warum das mit 139 nicht klappt). gruß, bl
Bernhard Lindenau wrote:
peter grotz schrieb:
schaltet auch den port 137 auch frei! und vor allem tcp _und_ udp !!
Tatsächlich habe ich nur den 139 in FW_SERVICES_INT_TCP freigeschaltet und es funzte - vielleicht schaltet FW_SERVICE_SAMBA="yes" den 137 in beiden Protokollen frei (was doch eigentlich auch so sein sollte - und die Frage aufwirft, warum das mit 139 nicht klappt).
sagt mal, schaut eigentlich niemand von euch mal in '/etc/sysconfig/SuSEfirewall2' rein? ihr benutzt es doch. *kopfschüttel* ,----[ /tmp/SF2/firewall2.rc.config.EXAMPLE ] | FW_SERVICE_SAMBA="no" | | set to "yes" if this server uses samba as client or server. As a | server, you still have to set FW_SERVICES_{EXT,DMZ,INT}_TCP="139". | Everyone may send you udp 137/138 packets if set to yes! (samba on | the firewall is not a good idea!) `----| micha
Hallo Trio, vielen Dannk für die gesammelten Anregungen, Michael Meyer schrieb:
Bernhard Lindenau wrote:
peter grotz schrieb:
schaltet auch den port 137 auch frei! und vor allem tcp _und_ udp !!
Tatsächlich habe ich nur den 139 in FW_SERVICES_INT_TCP freigeschaltet und es funzte - vielleicht schaltet FW_SERVICE_SAMBA="yes" den 137 in beiden Protokollen frei (was doch eigentlich auch so sein sollte - und die Frage aufwirft, warum das mit 139 nicht klappt).
sagt mal, schaut eigentlich niemand von euch mal in '/etc/sysconfig/SuSEfirewall2' rein? ihr benutzt es doch.
*kopfschüttel*
,----[ /tmp/SF2/firewall2.rc.config.EXAMPLE ] | FW_SERVICE_SAMBA="no" | | set to "yes" if this server uses samba as client or server. As a | server, you still have to set FW_SERVICES_{EXT,DMZ,INT}_TCP="139". | Everyone may send you udp 137/138 packets if set to yes! (samba on | the firewall is not a good idea!) `----|
micha
Inzwischen gibt es neues und leider doch nichts neues vom Ursprung des
Diskurses.
Zwischenzeitich habe ich unter FW_SERVICE_INT_TCP und FW_SERVICE_INT_UDP
jeweils "137 138 139" freigegeben, neu gestartet und bin leider genauso
weit wie vorher...rien ne va plus auf dem Win-Client.
Verwunderlich+erschreckend ist auch, dass die SMB-Shares selbst dann
nicht mehr zugänglich sind, wenn ich die Firewall mit 'rcSuSEfirewall
stop' herunterfahre.
Ich hänge mal die SuSEFirewall2 und messages hoffnungsvoll mit an - sehe
wohl vor Bäumen den Wald nicht mehr...
Gruß, Daniel
/etc/sysconfig/SuSEfirewall2:
=============================
# Copyright (c) 2001 SuSE GmbH Nuernberg, Germany. All rights reserved.
#
# Author: Marc Heuse
daniel kuesgen wrote:
Michael Meyer schrieb:
,----[ /tmp/SF2/firewall2.rc.config.EXAMPLE ] | FW_SERVICE_SAMBA="no" | | set to "yes" if this server uses samba as client or server. As a | server, you still have to set FW_SERVICES_{EXT,DMZ,INT}_TCP="139". | Everyone may send you udp 137/138 packets if set to yes! (samba on | the firewall is not a good idea!) `----|
Inzwischen gibt es neues und leider doch nichts neues vom Ursprung des Diskurses. Zwischenzeitich habe ich unter FW_SERVICE_INT_TCP und FW_SERVICE_INT_UDP jeweils "137 138 139" freigegeben, neu gestartet und bin leider genauso weit wie vorher...rien ne va plus auf dem Win-Client.
du brauchst nur 139/tcp. der rest wird über FW_SERVICE_SAMBA geregelt.
Verwunderlich+erschreckend ist auch, dass die SMB-Shares selbst dann nicht mehr zugänglich sind, wenn ich die Firewall mit 'rcSuSEfirewall stop' herunterfahre.
geht dann vom client ein 'telnet $server 139'?
Ich hänge mal die SuSEFirewall2 und messages hoffnungsvoll mit an - sehe wohl vor Bäumen den Wald nicht mehr...
wobei es gereicht hätte, nur den teil zu mailen, der _kein_ kommentar ist.
FW_MASQ_NETS="0/0"
nimm hier nur dein netz. also z.b. 192.168.1.0/24.
FW_AUTOPROTECT_SERVICES="yes"
setze hier mal testweise auf yes.
FW_SERVICES_INT_TCP="137 138 139"
hier nur 139
FW_SERVICES_INT_UDP="137 138 139"
hier brauchst du eigentlich nichts. micha
Hallo Micha, Michael Meyer schrieb:
daniel kuesgen wrote:
du brauchst nur 139/tcp. der rest wird über FW_SERVICE_SAMBA geregelt.
Habe ich gemacht.
Verwunderlich+erschreckend ist auch, dass die SMB-Shares selbst dann nicht mehr zugänglich sind, wenn ich die Firewall mit 'rcSuSEfirewall stop' herunterfahre.
geht dann vom client ein 'telnet $server 139'?
Nach dem Herunterfahren der Firewall lies sich mit 'telnet 192.168.1.1 139' keine Session aufbauen. Im Gegensatz zu einem Verbindungsaufbau ohne Gegenreaktion bleibt die DOS-Box dunkel. Dies ist allerdings auch bei laufender FW so.
wobei es gereicht hätte, nur den teil zu mailen, der _kein_ kommentar ist.
Stimmt wohl.
FW_MASQ_NETS="0/0"
nimm hier nur dein netz. also z.b. 192.168.1.0/24.
Hab ich gemacht.
FW_AUTOPROTECT_SERVICES="yes"
setze hier mal testweise auf yes.
Stand bereits auf yes, ich habe mal no eingesetzt.
FW_SERVICES_INT_TCP="137 138 139"
hier nur 139
Dito
FW_SERVICES_INT_UDP="137 138 139"
Leider hat alles nichts genutzt, die Shares bleiben für den Client verborgen. Allmählich nähere ich mich dem Entschluss, die FW- und IP-Chains-Pakete ganz zu deinstallieren. Keine Fehlermeldungen auf Konsole 10 oder in der /var/log/messages. Gibt es für smbd/nmbd oder iptables/SuSEFW2 Protokoll-Dateien (Name/Pfad), wo abgescmetterte SMB-Aufrufe zu sehen sein könnten? Danke & Gruß, Daniel
Hiho! On Sam, Jun 14, 2003 at 12:31:21 +0200, daniel kuesgen wrote:
Hallo Micha,
Michael Meyer schrieb:
daniel kuesgen wrote:
Leider hat alles nichts genutzt, die Shares bleiben für den Client verborgen. Allmählich nähere ich mich dem Entschluss, die FW- und IP-Chains-Pakete ganz zu deinstallieren. Keine Fehlermeldungen auf Konsole 10 oder in der /var/log/messages.
Quatsch, das muss gehen!!! Hier funzt es auch.
Gibt es für smbd/nmbd oder iptables/SuSEFW2 Protokoll-Dateien (Name/Pfad), wo abgescmetterte SMB-Aufrufe zu sehen sein könnten?
Für Samba: /va/log/samba/log.smb bzw. /va/log/log.smb Für die FW findest du die Logs in /var/log/firewall bzw. /var/log/messages oder evtl. auch in /var/log/warn Wenn du in den Dateien keine Hinweise findest, poste bitte noch mal die relevanten Config-Files, also smb.conf und /etc/sysconfig/SuSEfirewall2. BTW: du schreibst oben was von ipchains... SuSE 8.0 verwendet die SuSEfirewall2 und die wiederum verwendet iptables. Mit welcher FW hantierst du da rum bzw. setzt du wirklich ipchains ein?
Daniel
Ciao, Schöpp -- Christian Schoepplein | Beste Rockband der Welt: http://www.lily-rockt.de mail@schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de
..nach weiterem mehrstägigem Gestöber und diverser Posterei von Konfigdateien hat sich mein "Samba <-> Firewall"-Problem heute in Wohlgefallen aufgelöst...ziemlich peinlich: Samba, FW2 *und* Virenscanner können mit einander wunderbar - wenn man in der Systemsteuerung von Windows bei der Konfiguration der Netzwerk- und DFÜ-Verbindungen den Punkt "Client für Microsoft Netzwerke" aktiviert hält - eigentlich logisch, da Samba ja nichts anders als 'nen emulierten Windows-Ressourcenserver (Server Message Block) verkörpert. Nun denn, da hatte ichs mit der Sicherheit in bißchen zu gut gemeint, viel Schaum auf der Linuxseite geschlagen, aber dank der vielen Mithilfe einiges gelernt, und nun kann ich noch mit den diversen internen tcp/udp-Ports herumtrixen., was ich alles zuziehen kann bis dem Win-Client wieder die Puste ausgeht... Gruß, Daniel -- Veneno da Lata DAS GIFT AUS DER DOSE - oder: afrobrasilianische Taktschlemmereien mit Biss! http://www.patuscada.de Tim Sein Lada - Hinhören und Fieber kriegen. http://www.tim-sein-lada.de
daniel kuesgen wrote:
Michael Meyer schrieb:
daniel kuesgen wrote: du brauchst nur 139/tcp. der rest wird über FW_SERVICE_SAMBA geregelt.
Habe ich gemacht.
Verwunderlich+erschreckend ist auch, dass die SMB-Shares selbst dann nicht mehr zugänglich sind, wenn ich die Firewall mit 'rcSuSEfirewall stop' herunterfahre.
geht dann vom client ein 'telnet $server 139'?
Nach dem Herunterfahren der Firewall lies sich mit 'telnet 192.168.1.1 139' keine Session aufbauen. Im Gegensatz zu einem Verbindungsaufbau ohne Gegenreaktion bleibt die DOS-Box dunkel. Dies ist allerdings auch bei laufender FW so.
schick mal die ausgabe von 'netstat -lnp | grep 139'. entweder läuft samba gar nicht oder ist nicht an alle devices gebunden.
FW_AUTOPROTECT_SERVICES="yes"
setze hier mal testweise auf yes.
Stand bereits auf yes, ich habe mal no eingesetzt.
*g* meinte ich natürlich auch ...
Gibt es für smbd/nmbd oder iptables/SuSEFW2 Protokoll-Dateien (Name/Pfad), wo abgescmetterte SMB-Aufrufe zu sehen sein könnten?
bei dir warscheinlich '/var/log/log.smbd' und '/var/log/log.nmbd'. schick antworten bitte nur an die liste. micha
Hallo ihr Feuermänner, inzwischen habe ich drei Antworten bekommen von Micha, Christian und Robert und schicke die angeforderten Status- oder Logabfragen netstat -lnp |grep 13 /var/log/samba/smbd.log /var/log/samba/nbmd.log /var/log/warn /etc/samba/smb.conf /etc/samba/SuSEConfig2. Bemerkung an Schöpp: Ich habe die SuSEFW2 mit ip*tables*, weiß das aber auch noch nicht lange. Scheint möglich, dass ich die /etc/sysconfig/SuSEConfig2 (andere habe ich nicht editiert) inzwischen so verhunzt habe, dass nix mehr geht. Wenn aber keine Bolzen vom Typ 'klar, kann doch nicht...' zu finden sind, werde ich sie wohl mit der /usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.conf überbügeln und dann nach dem Rezept von Robert mit YaST2 konfigurieren. Frage an Robert: Reicht bei der Einngabe ins "Expertenfenster" von YaST2| ...| Firewall |Zusätzliche Dienste die Eingabe der mit Leerzeichen getrennten Portnummern, oder müssen smbd, nmbd, tcp/udp dort noch ausführlich angegeben werden? Nach meiner Deutung werden alle für Samba notwendigen Ports für das interne Netz zugelassen. Vielen Dank für Eure Bemühungen!! - Gruß, Daniel netstat -lnp |grep 13 (zeigt TCP-Port 137, 138 und 139): ===================== congo:/tmp # cat netstat_lnpgrep13\* tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 687/smbd udp 0 0 192.168.1.1:137 0.0.0.0:* 680/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 680/nmbd udp 0 0 192.168.1.1:138 0.0.0.0:* 680/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 680/nmbd /var/log/samba/smbd.log (nur aktuelle): ======================== [2003/06/15 19:52:30, 0] smbd/server.c:main(698) smbd version 2.2.3a started. Copyright Andrew Tridgell and the Samba Team 1992-2002 /var/log/samba/nbmd.log: ======================= [2003/06/15 19:52:30, 0] nmbd/nmbd.c:main(783) Netbios nameserver version 2.2.3a started. Copyright Andrew Tridgell and the Samba Team 1994-2002 [2003/06/15 19:52:35, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(237) find_response_record: response packet id 12427 received with no matching record. [2003/06/15 19:52:35, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(237) find_response_record: response packet id 12428 received with no matching record. [2003/06/15 19:58:16, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(404) ***** Samba name server CONGO is now a local master browser for workgroup ARBEITSGRUPPE on subnet 192.168.1.1 ***** /var/log/warn: ============== un 15 19:52:30 congo kernel: eth0: Tx timeout - resetting Jun 15 19:52:34 congo modprobe: modprobe: Can't locate module char-major-10-134 Jun 15 19:52:34 congo kernel: eth0: Tx timeout - resetting Jun 15 19:52:35 congo nmbd[680]: [2003/06/15 19:52:35, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(237) Jun 15 19:52:35 congo nmbd[680]: find_response_record: response packet id 12427 received with no matching record. Jun 15 19:52:35 congo nmbd[680]: [2003/06/15 19:52:35, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(237) Jun 15 19:52:35 congo nmbd[680]: find_response_record: response packet id 12428 received with no matching record. Jun 15 19:52:38 congo kernel: eth0: Tx timeout - resetting Jun 15 19:53:47 congo kernel: eth0: Tx timeout - resetting Jun 15 19:54:01 congo fetchnews[1061]: can't stat /var/spool/news/leaf.node/groupinfo: No such file or directory Jun 15 19:54:01 congo fetchnews[1061]: Reading all newsgroups failed Jun 15 19:55:47 congo kernel: eth0: Tx timeout - resetting Jun 15 19:57:47 congo kernel: eth0: Tx timeout - resetting Jun 15 19:58:14 congo last message repeated 5 times Jun 15 19:58:16 congo nmbd[680]: [2003/06/15 19:58:16, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(404) Jun 15 19:58:16 congo nmbd[680]: ***** Jun 15 19:58:16 congo nmbd[680]: Jun 15 19:58:16 congo nmbd[680]: Samba name server CONGO is now a local master browser for workgroup ARBEITSGRUPPE on subnet 192.168.1.1 Jun 15 19:58:16 congo nmbd[680]: Jun 15 19:58:16 congo nmbd[680]: ***** smb.conf: ========= (snip) [global] workgroup = arbeitsgruppe os level = 2 security = user encrypt passwords = Yes guest account = Nobody map to guest = Bad User # This tells samba to use the file smbusers for user mapping. ; username map = /etc/samba/smbusers # This tells samba to write log files per machine. ; log file = /var/log/samba/%m # This sets an alternate log level. Default is 2. ; log level = 3 # Uncomment the following, if you want to use an existing NT-Server to # authenticate users, but don't forget that you also have to create them # locally! ; security = server ; password server = 192.168.1.10 printing = LPRNG printcap name = /etc/printcap load printers = Yes # These settings are a suggestion for a local network. Cf. section # 'socket options' in the man page of smb.conf and socket(7). socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY # Uncomment this, if you want to integrate your server # into an existing net e.g. with NT-WS to prevent nettraffic ; local master = No # Please uncomment the following entry and replace the ip number and # netmask with the values of your network interface configuration. ; interfaces = 192.168.1.1/255.255.255.0 # If you want Samba to act as a wins server, please set # 'wins support' to yes. wins support = No # If you want Samba to use an existing wins server, please uncomment the # following line and replace the dummy with the wins server's ip number. ; wins server = 192.168.1.1 # Set these two parameters to your DOS code page and appropriate UNIX # character set. These values are for west European languages (Latin-9) # UNIX character and MS-DOS Latin 1 code page. character set = ISO8859-15 client code page = 850 # This is a simple measure against Nimba Worm. Cf. README.Win32-Viruses veto files = /*.eml/*.nws/riched20.dll/*.{*}/ # Do you wan't samba to act as a logon-server for your windows 95/98 # clients, so uncomment the following: ; domain logons = Yes ; domain master = Yes # For a specific logon script per user ; logon script = %U.bat # For a specific logon script per machine ; logon script = %m.bat # Where to store the logon scripts. ;[netlogon] ; comment = Network Logon Service ; path = /var/lib/samba/netlogon # Where profiles of Windows 9x systems are stored. # First example for a centralized place. ; logon home = \\%L\profiles\%U # Second example for a subdirectory of the users home. ; logon home = \\%L\%U\profile # Where profiles of Windows NT systems are stored. ; logon path = \\%L\profiles\%U # Extra share for profiles. Default is the home of the user. ;[profiles] ; comment = Network Profiles Service ; path = /var/lib/samba/profiles ; browseable = No [homes] comment = Home Directories read only = No create mask = 0640 directory mask = 0750 browseable = No # The following share gives all users access to the Server's CD drive, # assuming it is mounted under /media/cdrom. To enable this share, # please remove the semicolons before the lines [cdrecorder] comment = Linux CD-ROM path = /media/cdrecorder locking = No browseable = Yes [dvd] comment = Linux DVD path = /media/dvd locking = No browseable = Yes [printers] comment = All Printers path = /var/tmp create mask = 0600 printable = Yes browseable = Yes /etc/sysconfig/SuSEConfig2: =========================== (...snip...) # # 1.) # Should the Firewall be started? # # This setting is done via the links in the /etc/init.d/rc?.d runlevel # directories, which can be tweaked with a runlevel editor (or manually) # # 2.) # Which is the interface that points to the internet/untrusted networks? # # Enter all the network devices here which are untrusted. # # Choice: any number of devices, seperated by a space # e.g. "eth0", "ippp0 ippp1 eth0:1" # FW_DEV_EXT="ippp0" # # 3.) # Which is the interface that points to the internal network? # # Enter all the network devices here which are trusted. # If you are not connected to a trusted network (e.g. you have just a # dialup) leave this empty. # # Choice: leave empty or any number of devices, seperated by a space # e.g. "tr0", "eth0 eth1 eth1:1" or "" # FW_DEV_INT="eth0" # # 4.) # Which is the interface that points to the dmz or dialup network? # # Enter all the network devices here which point to the dmz/dialups. # A "dmz" is a special, seperated network, which is only connected to the # firewall, and should be reachable from the internet to provide services, # e.g. WWW, Mail, etc. and hence are at risk from attacks. # See /usr/share/doc/packages/SuSEfirewall2/EXAMPLES for an example. # # Special note: You have to configure FW_FORWARD to define the services # which should be available to the internet and set FW_ROUTE to yes. # # Choice: leave empty or any number of devices, seperated by a space # e.g. "tr0", "eth0 eth1 eth1:1" or "" # FW_DEV_DMZ="" # # 5.) # Should routing between the internet, dmz and internal network be activated? # REQUIRES: FW_DEV_INT or FW_DEV_DMZ # # You need only set this to yes, if you either want to masquerade internal # machines or allow access to the dmz (or internal machines, but this is not # a good idea). This option supersedes IP_FORWARD from # /etc/sysconfig/network/options # -- Veneno da Lata DAS GIFT AUS DER DOSE - oder: afrobrasilianische Taktschlemmereien mit Biss! http://www.patuscada.de Tim Sein Lada - Hinhören und Fieber kriegen. http://www.tim-sein-lada.de
daniel kuesgen wrote:
netstat -lnp |grep 13 (zeigt TCP-Port 137, 138 und 139): ===================== congo:/tmp # cat netstat_lnpgrep13\* tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 687/smbd
ok, samba läuft.
/var/log/warn: ============== un 15 19:52:30 congo kernel: eth0: Tx timeout - resetting
hmm ... was ist denn das für ne NIC? mach auch mal ein 'iptables -L -n | grep 139'. micha
daniel kuesgen wrote:
netstat -lnp |grep 13 (zeigt TCP-Port 137, 138 und 139): ===================== congo:/tmp # cat netstat_lnpgrep13\* tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 687/smbd
ok, samba läuft.
/var/log/warn: ============== un 15 19:52:30 congo kernel: eth0: Tx timeout - resetting
hmm ... was ist denn das für ne NIC? Eine Davicom Etherexpress 10/100, RJ45, lief bislang wie geschmiert
Michael Meyer schrieb: trotz ewiger Resetmeldungen. HTTP uns Browser geht ja auch noch.
mach auch mal ein 'iptables -L -n | grep 139'.
micha
'iptables -L -n | grep 139': ============================ congo:~ # iptables -L -n |grep 139 congo:~ # Ich würde sagen: Rien! Und was tun ?? Gruß, Daniel -- Veneno da Lata DAS GIFT AUS DER DOSE - oder: afrobrasilianische Taktschlemmereien mit Biss! http://www.patuscada.de Tim Sein Lada - Hinhören und Fieber kriegen. http://www.tim-sein-lada.de
..nach weiterem mehrstägigem Gestöber und diverser Posterei von Konfigdateien hat sich mein "Samba <-> Firewall"-Problem heute in Wohlgefallen aufgelöst...ziemlich peinlich: Samba, FW2 *und* Virenscanner können mit einander wunderbar - wenn man in der Systemsteuerung von Windows bei der Konfiguration der Netzwerk- und DFÜ-Verbindungen den Punkt "Client für Microsoft Netzwerke" aktiviert hält - eigentlich logisch, da Samba ja nichts anders als 'nen emulierten Windows-Ressourcenserver (Server Message Block) verkörpert. Nun denn, da hatte ichs mit der Sicherheit in bißchen zu gut gemeint, viel Schaum auf der Linuxseite geschlagen, aber dank der vielen Mithilfe einiges gelernt, und nun kann ich noch mit den diversen internen tcp/udp-Ports herumtrixen., was ich alles zuziehen kann bis dem Win-Client wieder die Puste ausgeht... Gruß, Daniel
participants (5)
-
Bernhard Lindenau
-
Christian Schoepplein
-
daniel kuesgen
-
Michael Meyer
-
peter grotz