Samba server in DMZ-zone - Linux en overige clients

donderdag 8 november 2007 16:47

Acties:

Verwijderd

Topicstarter

Ik heb Clarkconnect 4.2 geinstaleerd en deze in een DMZ geplaatst. Ik gebruik m0n0wall als router.

Nu zie ik niet mijn server in 'network neighbourhood' maar wel op \\servernaam. Dit heeft met nmbd te maken aldus deze site. Ik heb het een en ander opgevolgd maar werkt niet.

'smbstatus' en 'testparm' geven geen fouten in configuratie.
Ik zie vanaf server ook geen clients in LAN. Ik heb 'recote anounce' en 'remote browse sync' ingesteld. Ik heb zelfs vanuit LAN naar DMZ en vice versa alle protocollen naar en van alle poorten opengezet. Heeft ook geen zin.

Welke poorten heb ik nu openstaan op LAN en DMZ Ook straan deze open op server;

poort 137 + 138 TCP/UDP
poort 139 TCP
poort 135 + 136 UDP
poort 445 TCP

Wat me nu opvalt is als ik 'nmblookup EenPC' doe dan zoekt ie alleen maar een lokaal network terwijl ik toch echt interface, remote anounce en sync heb ingesteld. zie hieronder m'n smb.conf

code:

[global]
domain master = no
os level = 51
local master = yes
passwd program = /usr/sbin/userpasswd %u
passwd chat = *password:* %n\n *password:* %n\n *successfully.*
netbios name = sun01
workgroup = Blaat
server string = ClarkConnect Server sun01
# handmatig toegevoegd
announce version = 5.0
browse list = yes
auto services = yes
lm announce = yes

bind interfaces only = yes
interfaces = lo eth0 192.168.130.255/255.255.255.128 192.168.131.135/255.255.255.248

use client driver = yes
printcap name = /etc/printcap
load printers = yes

security = user
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

syslog = false
socket options = TCP_NODELAY
dns proxy = no
utmp = yes

# handmatig toegevoegd
oplocks = no
level2 oplocks = no
# name resolve order = lmhosts host wins bcast

# For low-risk security reasons on Win2000/WinXP networks (no Win98)
# restrict anonymous = 2

# WINS / VPN
# ----------

wins support = yes
# wins proxy = yes
# wins server =

# Other handy directives
# ----------------------
# handmatig ingesteld
preferred master = yes
remote announce = 192.168.130.255/Blaat
remote browse sync = 192.168.130.255

# Authconfig adds these
#----------------------

   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431
   template shell = /bin/false
   winbind use default domain = no

# PDC
#----

add machine script = /usr/sbin/useradd -d /dev/null -g samba-clients -s /bin/false -M %u


#============================ Share Definitions ==============================

include = /etc/samba/flexshare.conf

donderdag 8 november 2007 19:04

Acties:

capedro

Als je met bv wireshark gaat sniffen in je DMZ, dan zal je zien dat je SMB-server loopt te broadcasten dat hij er is.

Echter je zit nu in een ander subnet (DMZ), dus je LAN zal de broadcasts niet ontvangen... zodoende zal je hem niet zien in je 'network neighbourhood'... maar wel direct op UNC-naam.

Kan je hier wat mee?

Kijk eens naar het volgende screenshot wat ik gemaakt heb waarbij ik naar de broadcasts op mijn netwerk heb gekeken:

Afbeeldingslocatie: http://www.xs4all.nl/~paderijk/pics/wireshark-capture-windows-smb-klein.jpg

My weblog

donderdag 8 november 2007 19:40

Acties:

Verwijderd

Topicstarter

Ik begrijp ongeveer wat je bedoelt maar hoe los ik dat op? broadcastadressen moeten dus gebridged worden. Hoe doe ik dat met een firewall. Het zou toch in samba met de smb.conf moeten kunnen worden ingesteld?!

donderdag 8 november 2007 20:53

Acties:

capedro

Verwijderd schreef op donderdag 08 november 2007 @ 19:40:
Ik begrijp ongeveer wat je bedoelt maar hoe los ik dat op? broadcastadressen moeten dus gebridged worden. Hoe doe ik dat met een firewall. Het zou toch in samba met de smb.conf moeten kunnen worden ingesteld?!

Kijk eens op deze website, wellicht kan je er wat mee... zelf heb ik er geen ervaring mee...

My weblog

vrijdag 9 november 2007 17:07

Acties:

Verwijderd

Topicstarter

Ik weet denk ik bijna zeker waar het aan ligt maar weet niet hoe ik het moet oplossen;

code:

1 2	bind interfaces only = yes interfaces = lo eth0 192.168.130.255/255.255.255.128 192.168.131.135/255.255.255.248

Wordt na restarten van Service Via webconsole overschreven naar standaard instellingen! Kortom;

code:

1 2	bind interfaces only = yes interfaces = lo eth0

Omdat niet in andere subnet wordt gekeken kan ik ook niet browsen! En hoe los ik deze ongein op? Waarom zou bij het stoppen en starten van service de smb.conf door Clarkconnect4.2 worden overschreven?

zaterdag 10 november 2007 12:30

Acties:

capedro

Verwijderd schreef op vrijdag 09 november 2007 @ 17:07:

[...]

Omdat niet in andere subnet wordt gekeken kan ik ook niet browsen! En hoe los ik deze ongein op? Waarom zou bij het stoppen en starten van service de smb.conf door Clarkconnect4.2 worden overschreven?

Kan je niet via de commandline herstarten via bijvoorbeeld:

code:

1	/etc/rc.d/smbd restart

Wellicht doet het webinterface wat 'rare' dingen...

My weblog

zaterdag 10 november 2007 13:08

Acties:

Verwijderd

Topicstarter

FF post ge'edit

code:

1	service smb restart

reset tevens de interfaces setting in smb.conf. Ik heb een stukje code in etc/rc.d/init.d/smb gevonden dat volgens mij voor dit gezeik zorgt. Ik had deze al aangepast door subnets toe te voegen maar dan wordt smb.conf totaal vernaggeld.

code:

 automagic() {
    # Bail if no-automagic is not wanted
    if [ "$AUTOMAGIC" == "off" ]; then
        return
    fi

    sed -e "s/^interfaces.*/interfaces = lo $AUTOMAGIC_LANIFS/" /etc/samba/smb.conf > /etc/samba/smb.conf.new
    mv /etc/samba/smb.conf.new /etc/samba/smb.conf
    sed -e "s/^bind interfaces only.*/bind interfaces only = yes/" /etc/samba/smb.conf > /etc/samba/smb.conf.new
    mv /etc/samba/smb.conf.new /etc/samba/smb.conf
}

ik ben niet zo'n linux ster dus weet niet waar ik het moet zoeken.
Linux/Redhat guru's shoot! (Clarkconnect4.2 heeft als basis CentOS4 dus Redhat)

edit
Als ik nou dat move commando outcomment in init.d/smb dan schrijft het system bij herstart van smb in nieuwe configfile (logisch gezien er niet gemoved wordt). Maar mijn NMB-service wilt niet goed herstarten. Op een gegeven moment gaat 'nmblookup -L blaat' wel op LAN-broadcastadress query'en maar vindt niets. Ik heb mij Laptop's Firewall (Sygate) rule aangemaakt dat alle traffic van DMZ-subnet wordt gelogd. Er wordt niets gelogd dus lijkt erop dat ook geen broadcast vanuit server van DMZ op LAN gebeurd! Whaahhh, hoe moeilijk is het om SMB-server vanuit DMZ met LAN te laten lullen?!

Ik heb trouwens regel in

code:

1	interfaces = lo eth0 192.168.130.129/25

veranderd anders ging SMB service over de zeik.

[ Voor 29% gewijzigd door Verwijderd op 10-11-2007 15:06 ]

zaterdag 10 november 2007 14:28

Acties:

capedro

Verwijderd schreef op zaterdag 10 november 2007 @ 13:08:
[...]

code:

 automagic() {
    # Bail if no-automagic is not wanted
    if [ "$AUTOMAGIC" == "off" ]; then
        return
    fi

    sed -e "s/^interfaces.*/interfaces = lo $AUTOMAGIC_LANIFS/" /etc/samba/smb.conf > /etc/samba/smb.conf.new
    mv /etc/samba/smb.conf.new /etc/samba/smb.conf
    sed -e "s/^bind interfaces only.*/bind interfaces only = yes/" /etc/samba/smb.conf > /etc/samba/smb.conf.new
    mv /etc/samba/smb.conf.new /etc/samba/smb.conf
}

[...]

Wat ik zie... is dat als $AUTOMAGIC de waarde off heeft, er geen 'magic' wordt gedaan.

code:

 automagic() {
    # Bail if no-automagic is not wanted
    if [ "$AUTOMAGIC" == "off" ]; then
        return
    fi

Na wat Google werk (ben ook niet thuis in ClarkConnect) kwam ik op deze pagina.

Daar wordt gesproken over het editten van /etc/init.d/functions-automagic om automagic in zijn geheel uit te schakelen.

Wellicht kan je hier wat meer mee...

* capedro gaat denkt ie ook eens kijken naar ClarkConnect...

My weblog

zaterdag 10 november 2007 15:31

Acties:

Verwijderd

Topicstarter

Hey capedro,

Ik heb AUTOMAGIC="off" in init.d/smb toegevoegd nu is schijnbaar automagic voor samba uitgeschakeld. Alleen als ik subnet van LAN aan 'interfaces' toevoeg kan de server geeneens zichzelf vinden dmv. nmblookup. nmbd gaat wel op LAN-broadcastadress query'en. Ik word er helemaal chagerijnig van! Haal ik subnet uit configfile kan server weer zichzelf vinden!

edit
Traffic van DMZ wordt op mijn laptop door Sygate Firewall gelogd. Bijvoorbeeld HTTP-traffic komt wel in log voor.

[ Voor 14% gewijzigd door Verwijderd op 10-11-2007 15:37 ]