Самба не работает с фаерволом

[vlav]

На ФС-4
Пока включен файрвол - не работает самба
Что делать?

[unix_man]

Открыть порт

[zero]

Запусти tcpdump src host <тачка с которой конектишься к самбе> запиши порты и открой их

[vlav]

Вы думаете что все должны быть по умолчанию системными администраторами?
=========================================================
6.6. Samba (совместимость с файловой системой Windows)

Этот раздел содержит информацию, связанную с Samba — пакетом программ, позволяющим системам Linux и Microsoft Windows совместно работать с файлами.

Просмотр общих ресурсов Windows (SMB-просмотр) не работает в системах Fedora Core 4 с брандмауэром, настроенным по умолчанию. Это можно легко заметить, так как рабочий стол не может отобразить общие папки.

Причиной тому брандмауэр, который мешает широковещательному режиму SMB-просмотра, включённому по умолчанию. Возможны два решения этой проблемы:

*

Настроить в сети WINS-сервер и указать в параметре "wins server" файла smb.conf адрес WINS-сервера.
*

Запретить брандмауэр.

[Предупреждение] Отключение брандмауэра может сделать вашу систему уязвимой

Делайте это, только если вы полностью понимаете связанные с этим риски.

За дополнительной информацией обратитесь к следующему отчёту об ошибке:

https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=133478
================================
где советуется в частности:

In the security level window accessed through menu system settings,
enable firewall add the following to the enable other ports bit,

137:udp, 137:tcp, 139:udp, 139:tcp, 445:udp, 445:tcp

this allows me to browse my samba shares with the firewall enabled,
using win98 win2k and winXP and fedora.
===================================
И я так и не понял представит ли это угрозу безопасности в целом?

[123456]

Поставь галочку в окне доверительных служб на samba

[Poor Fred]

А брандмауер и от локальной сети защищает? Зачем?

[vlav]

А брандмауер и от локальной сети защищает? Зачем?

У меня внешний IP

[vlav]

Самое противное, что все равно не работает и после открытия портов, как написано.
Компьютеры показывает, а дальше не раксрывает - ошибка сети. Кто-нибудь под федорой самбу и файрвол вообще юзал?

[Poor Fred]

А брандмауер и от локальной сети защищает? Зачем?

У меня внешний IP

То есть? Ты Самбу в глобал открываешь?

Компьютеры показывает, а дальше не раксрывает - ошибка сети. Кто-нибудь под федорой самбу и файрвол вообще юзал?

А ты пользователей самбовых завел? А доки по самбовому серверу читал? На опеннет куча.

[vlav]

А брандмауер и от локальной сети защищает? Зачем?
У меня внешний IP
То есть? Ты Самбу в глобал открываешь? blink.gif

Я так понимаю, что по внешнему IP есть доступ к портам моей машины?
То есть незнамо как полученный троян, например, сможет спокойно юзать любой из них незанятый и незащищенный? То есть стать smtp сервером на незащищенном порту, например? Но еще раз - я не сисадмин и не хочу им становиться. Был бы благодарен за более понятные советы.

Компьютеры показывает, а дальше не раксрывает - ошибка сети. Кто-нибудь под федорой самбу и файрвол вообще юзал?

А ты пользователей самбовых завел? А доки по самбовому серверу читал? На опеннет куча.

Пользователей скопировал Линуксовых. Если у меня все прекрасно работает без файрвола, а с ним нет - то считаете могут быть причем пользователи самбовые?
У кого-нить это работает под федорой? Наверняка были такие-же проблемы.

[Poor Fred]

Да при чем тут Федора-Нефедора? И как у тебя троян прицепится - ему же нужно исполниться, а для этого ему нужно виндовое окружение (во всяком случае кросс-платформенных вирусов сейчас пока нет, а линуксовых крайне мало).

Точно команды файерволла не подскажу, но чисто теоретически: Есть два сетевых интерфейса. Один из них обращен в локалку, другой в интернет. Так вот именно на внешней сетевухе брандмауер и должен рубить всё за исключением некоторых портов. Уж к самбе точно извне никакого обращения быть не должно.
А вот на внутреннем интерфейсы должны быть разрешены все входящие-исходящие обращения. И к Самбе в том числе. Очевидно у тебя проблема в том, что брандмауер рубит и внутренние хождения.

[123456]

Если самбу не настроиш то она работать не будет, а после настройки надо запустить службы samba и iptables!

[vlav]

Да при чем тут Федора-Нефедора? И как у тебя троян прицепится - ему же нужно исполниться, а для этого ему нужно виндовое окружение (во всяком случае кросс-платформенных вирусов сейчас пока нет, а линуксовых крайне мало).

Точно команды файерволла не подскажу, но чисто теоретически: Есть два сетевых интерфейса. Один из них обращен в локалку, другой в интернет. Так вот именно на внешней сетевухе брандмауер и должен рубить всё за исключением некоторых портов. Уж к самбе точно извне никакого обращения быть не должно.
А вот на внутреннем интерфейсы должны быть разрешены все входящие-исходящие обращения. И к Самбе в том числе. Очевидно у тебя проблема в том, что брандмауер рубит и внутренние хождения.

Это домашняя сеть. И мне выделен внешний IP стукнув на который снаружи я попадаю прямо в свою машину. Ты считаешь то, что она под линуксом само-по себе достаточная защита в этом случае?. Как то не хочется стать на время почтовым сервером. Правда юниксовых бинарников мне пока в письмах не присылали. Под рутом не сижу вообще. правда sudo для меня по умолчанию и без пароля.
Я планирую позже поднять на ней ftp сервер для личного доступа к данным из других мест.

[Poor Fred]

Это домашняя сеть. И мне выделен внешний IP стукнув на который снаружи я попадаю прямо в свою машину.
Я планирую позже поднять на ней ftp сервер для личного доступа к данным из других мест.

Тогда у тебя посылка неверная. Самба предназначена для локальных виндовых сетей. В интернет ее открывать - играть с огнем. Для доступа к машине извне существует vpn, ssh, ftp, http, в конце концов. Уж никак не Samba.

[vlav]

Подожди.
Домашняя локальная сеть в рамках района.
Несколько сотен компов с расшаренными папками - музыка, фильмы и т.п. под разными сортами винды (может есть кто и с никсами - не знаю)
и шлюз в интернет - не знаю как организованный
Как мне внутри локалки лазить иначе как с помощью самбы? Сетевое окружение виндоуз-netbios?
и поскольку у меня внешний IP получается что она открывается и в интернет. То есть если я что-нибудь по самбе расшарю без пароля - любой извне набрав мой ИП в проводнике винды увидит (если его файрвол позволит ).

[Poor Fred]

Подожди.
Домашняя локальная сеть в рамках района.
Несколько сотен компов с расшаренными папками - музыка, фильмы и т.п. под разными сортами винды (может есть кто и с никсами - не знаю)

Ну ясно. Но ты же сам приводил выдержки откуда-то про порты

Код: Выделить всё

137:udp, 137:tcp, 139:udp, 139:tcp, 445:udp, 445:tcp

Вот их и надо тогда открыть. Конкретных действий не подскажу, т.к. с iptables не знаком, но в АСП же вроде много из гуя можно сделать.
Насчет троянов - поставь антивирус и запускай по крону.

[vlav]

Ну ясно. Но ты же сам приводил выдержки откуда-то про порты

Код: Выделить всё

137:udp, 137:tcp, 139:udp, 139:tcp, 445:udp, 445:tcp

Вот их и надо тогда открыть. Конкретных действий не подскажу, т.к. с iptables не знаком, но в АСП же вроде много из гуя можно сделать.
Насчет троянов - поставь антивирус и запускай по крону.

Выключаю файрвол - все работает.
Включаю - не видно по самбе ничего.
Разрешаю эти порты - компы видно а в них зайти нельзя.
Чего бы еще сделать для счастья?

[Poor Fred]

Выключаю файрвол - все работает.
Включаю - не видно по самбе ничего.
Разрешаю эти порты - компы видно а в них зайти нельзя.
Чего бы еще сделать для счастья?

Ну тогда конфиг в студию. Будем разбираться. Вобще-то это еще в самом начале надо было сделать.

[Igor B.]

138-го порта не хватает, по-моему...

[vlav]

138-го порта не хватает, по-моему...

Именно, Ватсон!
У меня тоже мелькнула ваша мысль и она правильная.
Фаервол от гноме в итоге преобразовал сам введенные числами порты для открытия в такую строку:
netbios-ns:udp, netbios-ns:tcp, netbios-dgm:udp, netbios-dgm:tcp, netbios-ssn:udp, netbios-ssn:tcp, microsoft-ds:udp, microsoft-ds:tcp

[McLeod095]

по поводу того чтобы самба не смотрела в инет надо ей прописать на каком айпи слушать сеть.
пишу по памяти поэтому могу ошибиться.
interface = xxx.xxx.xxx.xxx твой ип сети.

[vlav]

Спасибо всем, кто помог мне в нелегком деле настройки самбы.
И один еще вопрос остался нерешенным - русккие имена файлов на расшаренных ресурсах.
То есть я делаю так:
- просматриваю сеть с помощью smb4k - там все по русски
- монтирую с ее помощью нужный ресурс
- захожу в него, как в директорию на своем компьютере с помощью любимого файлменеджера под названием rox - русские файлы отображаются, как неправильная ютф - по 2 символа на букву.
У меня локаль utf-8
Что подскажете?

[vlav]

Отвечаю сам себе - у smb4k нужно снять галочку "использовать юникоде" в настройках, а если взглянуть шире то надо копаться в опциях smbmount.
По ходу родился еще такой вопрос: можно ли в принципе искать в файловых системах расшаренных ресурсов не монтируя их предварительно? Или иначе, если нет - можно ли примонтироать сразу все что есть в автомате?