SuSEfirewall2 & Sambaserver
Servus ! Ich habe auf einem Rechner mit SuSE-9.2 einen Samba-Server aufgesetzt. Ich habe ebenfalls die Firewall aktiviert. Dort gibt es eine Option für Samba-Server-Dienste - diese habe ich aktiviert. Zusätzlich habe ich die UDP Ports 137:139 und 445 zugelassen. Das reicht aber nicht aus, damit Windows-Clients auf diesen Server zugreifen können (An SuSE: Kompliment für diese gelungene Option bei der Firewall). Schalte ich die Firewall ab, können die Windows-Clients sofort zugreifen. Schalte ich das Logging ein, sehe ich haufenweise gedroppte Broadcasts, die vielleicht notwendig sind, um auf den Samba-Server zuzugreifen. Hat jemand dafür schon eine Lösung, oder muss ich erneut die SuSE-Firewall wegschmeissen, und meine eigenen Regeln für iptables aufsetzen? (Dies ist mein zweiter Versuch die SuSEfirewall für einen Server zu benutzen - Der erste war vor 2 Jahren wegen Unkonfigurierbarkeit gescheitert). -- Mathias Weigt
Mathias Weigt schrieb am Mittwoch, 17. November 2004 15:18:
Servus !
Ich habe auf einem Rechner mit SuSE-9.2 einen Samba-Server aufgesetzt. Ich habe ebenfalls die Firewall aktiviert. Dort gibt es eine Option für Samba-Server-Dienste - diese habe ich aktiviert. Zusätzlich habe ich die UDP Ports 137:139 und 445 zugelassen. Das reicht aber nicht aus, damit Windows-Clients auf diesen Server zugreifen können (An SuSE: Kompliment für diese gelungene Option bei der Firewall). Schalte ich die Firewall ab, können die Windows-Clients sofort zugreifen. Schalte ich das Logging ein, sehe ich haufenweise gedroppte Broadcasts, die vielleicht notwendig sind, um auf den Samba-Server zuzugreifen.
Hat jemand dafür schon eine Lösung, oder muss ich erneut die SuSE-Firewall wegschmeissen, und meine eigenen Regeln für iptables aufsetzen? (Dies ist mein zweiter Versuch die SuSEfirewall für einen Server zu benutzen - Der erste war vor 2 Jahren wegen Unkonfigurierbarkeit gescheitert). --
Hi, die FW2 kann hier und im Büro einwandfrei auf einem PDC eingesetzt werden ... Beispielkonfig: FW_QUICKMODE="no" FW_DEV_INT="eth0 ath0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="22 25 80 443" FW_SERVICES_EXT_UDP="5000:5010" FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 119 137 138 139 143 443 631 901 3128 5000 5001 5050 5100 5190:5193 6566 9100 12345" FW_SERVICES_INT_UDP="domain syslog 53 5000:5010 5190:5193 6566" FW_SERVICES_INT_IP="" FW_SERVICES_INT_RPC="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data" FW_ALLOW_INCOMING_HIGHPORTS_UDP="" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="" FW_LOG_DROP_ALL="" FW_LOG_ACCEPT_CRIT="" FW_LOG_ACCEPT_ALL="" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="yes" FW_ANTISPOOF="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="int" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="yes" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="dsl0,125" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="yes" FW_IPSEC_TRUST="no"
Mathias Weigt
Gruß Torsten
Am Mittwoch, 17. November 2004 16:24 schrieb Torsten E.:
Hi,
die FW2 kann hier und im Büro einwandfrei auf einem PDC eingesetzt
Ich brauche keinen PDC
werden ... Beispielkonfig: FW_SERVICES_EXT_TCP="22 25 80 443"
Das scheint kein Samba-Server zu sein. sondern eher ssh, smtp, http, https
FW_SERVICES_EXT_UDP="5000:5010" keine Ahnung...
FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 119 137 138 139 143 443 631 901 3128 5000 5001 5050 5100 5190:5193 6566 9100 12345" FW_SERVICES_INT_UDP="domain syslog 53 5000:5010 5190:5193 6566"
läuft der Samba-Server bei dir intern? keine Ahnung, hier klappt es mit folgender Config nicht: FW_QUICKMODE="no" FW_DEV_EXT="eth-id-00:c0:f0:78:b7:26" FW_DEV_INT="" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="137:139 445 microsoft-ds netbios-dgm netbios-ns netbios-ssn ssh" FW_SERVICES_EXT_UDP="137:139 445" FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_INT_RPC="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_QUICK_TCP="137:139, 445" FW_SERVICES_QUICK_UDP="137:139, 445" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="" FW_ALLOW_INCOMING_HIGHPORTS_UDP="" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="no" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="no" FW_LOG_ACCEPT_ALL="no" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="yes" FW_ANTISPOOF="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="int" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="yes" FW_IPSEC_TRUST="no" -- Mathias Weigt Pharmaceutical Chemist AK Prof. Wiese University of Bonn
Torsten E. schrieb:
die FW2 kann hier und im Büro einwandfrei auf einem PDC eingesetzt werden ... Beispielkonfig: FW_QUICKMODE="no" FW_DEV_INT="eth0 ath0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" ^^^^ kein Wunder!
FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="22 25 80 443" [...] FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 119 137 138 139 143 443 631 901 3128 5000 5001 5050 5100 5190:5193 6566 9100 12345" FW_SERVICES_INT_UDP="domain syslog 53 5000:5010 5190:5193 6566"
das ist dann eigentlich beides überflässig, wenn du von innen sowieso alles durchläßt. [...] Oder sehe ich da etwas falsch? Mfg, Günther
On Saturday 20 November 2004 13:22, Günther Zinsberger wrote:
Torsten E. schrieb:
FW_PROTECT_FROM_INTERNAL="no" ^^^^ kein Wunder!
FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="22 25 80 443" [...] FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 119 137 138 139 143 443 631 901 3128 5000 5001 5050 5100 5190:5193 6566 9100 12345" FW_SERVICES_INT_UDP="domain syslog 53 5000:5010 5190:5193 6566"
das ist dann eigentlich beides überflässig, wenn du von innen sowieso alles durchläßt.
Oder sehe ich da etwas falsch?
Nein Ich glaube, das siehst du richtig. Ich habe "nur" ein äußeres Netz, und damit geht es nicht. -- Mathias Weigt
Mathias Weigt schrieb am Samstag, 20. November 2004 17:01:
On Saturday 20 November 2004 13:22, Günther Zinsberger wrote:
Torsten E. schrieb:
[...]
das ist dann eigentlich beides überflässig, wenn du von innen sowieso alles durchläßt.
Oder sehe ich da etwas falsch?
Nein Ich glaube, das siehst du richtig. Ich habe "nur" ein äußeres Netz, und damit geht es nicht.
Lauscht samba denn auf dem korrekten Interface? Kann die FW2 überhaupt prinzipiell werkeln, wenn nur ein Interface angegeben wird? Sollte da dann nicht die FW genutzt werden?
-- Mathias Weigt
Gruß Torsten
Am Samstag, 20. November 2004 17:16 schrieb Torsten E.:
Mathias Weigt schrieb am Samstag, 20. November 2004 17:01:
Nein Ich glaube, das siehst du richtig. Ich habe "nur" ein äußeres Netz, und damit geht es nicht.
Lauscht samba denn auf dem korrekten Interface?
Samba kann nur an einem Interface lauschen, da ich nur eines habe. (Abgesehen von loopback, und ohne FW2 funktioniert es ja auch)
Kann die FW2 überhaupt prinzipiell werkeln, wenn nur ein Interface angegeben wird?
Natürlich kann sie das.
Sollte da dann nicht die FW genutzt werden?
Ich habe die bereits bei der Default-Installation eingerichtete FW genutzt. Diese hat eine Option, mit der man den Samba-Server freischalten kann (So wie z.B. SSH - was tatsächlich funktioniert). Nur funktioniert das leider nicht. Ich wüsste jetzt nicht, dass es noch eine FW gibt. Promoted wird immer nur die FW2. -- Mathias Weigt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo kann momentan nicht die ganze Mail lesen, da ich aber einige Konfigurationsprobleme mit der fw2 auch schon hatte, möchte ich an der Stelle einfach auf ein tool verweisen, dass ziemlich gut dokumentiert ist. http://www.shorewall.net/ Wir haben das in der suse-security mail liste gefunden. Gruss Reimar Mathias Weigt wrote: | Am Samstag, 20. November 2004 17:16 schrieb Torsten E.: | |>Mathias Weigt schrieb am Samstag, 20. November 2004 17:01: |> |>>Nein Ich glaube, das siehst du richtig. Ich habe "nur" ein äußeres |>>Netz, und damit geht es nicht. |> |>Lauscht samba denn auf dem korrekten Interface? | | | Samba kann nur an einem Interface lauschen, da ich nur eines habe. | (Abgesehen von loopback, und ohne FW2 funktioniert es ja auch) | | |>Kann die FW2 überhaupt prinzipiell werkeln, wenn nur ein Interface |>angegeben wird? | | | Natürlich kann sie das. | | |>Sollte da dann nicht die FW genutzt werden? | | | Ich habe die bereits bei der Default-Installation eingerichtete FW | genutzt. Diese hat eine Option, mit der man den Samba-Server | freischalten kann (So wie z.B. SSH - was tatsächlich funktioniert). Nur | funktioniert das leider nicht. | Ich wüsste jetzt nicht, dass es noch eine FW gibt. Promoted wird immer | nur die FW2. - -- Reimar Bauer Institut fuer Stratosphaerische Chemie (ICG-I) Forschungszentrum Juelich email: R.Bauer@fz-juelich.de - ------------------------------------------------------------------- ~ a IDL library at ForschungsZentrum Juelich ~ http://www.fz-juelich.de/icg/icg-i/idl_icglib/idl_lib_intro.html =================================================================== -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBpFBZ5aOc3Q9hk/kRAq1gAKCIl72mCbtZTteLqjmbkKpCyz/GMgCfcx2R yy3qWcsFGrsaZh/E/mblvUw= =fDMO -----END PGP SIGNATURE-----
Günther Zinsberger schrieb am Samstag, 20. November 2004 13:22:
Torsten E. schrieb:
die FW2 kann hier und im Büro einwandfrei auf einem PDC eingesetzt werden ... Beispielkonfig: FW_QUICKMODE="no" FW_DEV_INT="eth0 ath0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" ^^^^ kein Wunder!
FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="22 25 80 443" [...] FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 119 137 138 139 143 443 631 901 3128 5000 5001 5050 5100 5190:5193 6566 9100 12345" FW_SERVICES_INT_UDP="domain syslog 53 5000:5010 5190:5193 6566"
das ist dann eigentlich beides überflässig, wenn du von innen sowieso alles durchläßt.
Yep ... ist auch ein Fehler meine c&p gewesen. De facto steht es auf no - war nur zum Testen einer anderen Verbindung geöffnet.
[...]
Oder sehe ich da etwas falsch?
Nöö ... s. o.
Mfg, Günther
Gruß Torsten
participants (4)
-
Günther Zinsberger -
Mathias Weigt -
Reimar Bauer -
Torsten E.