[SMB] Vreemde logfiles

zaterdag 8 mei 2004 17:23

Silence...

Topicstarter

0xDEADBEEF schreef op 08 mei 2004 @ 12:43:
Hello

• 2: Het is in jouw geval ranzig om het met je firewall af te schermen:

offtopic:
En je hebt vast niet gezocht naar n oplossing voor je probleem

Goed... dank je wel voor je heldere verklaring

Ik scherm het niet af MET de firewall, ik heb het afgeschermd OP de firewall... het GAAT namelijk om mijn firewall...

Ik heb in de smb.conf gewoon hosts allow en interface's gebruikt, samen met enkele EXCEPT's
dus ik zou niet weten wat er niet netjes aan is...

en ja, ik heb dus wel gezocht, en ik heb geen resultaten gevonden op mijn issue...
Nu moet ik eerlijk zeggen dat ik niet echt weet hoe ik mijn probleem moet omschrijven in een korte bondige search string, dus misschien is dat wel het probleem...

offtopic:
Ik heb in ieder geval wel gezocht naar een oplossing...

[ Voor 4% gewijzigd door SnakeMind op 08-05-2004 16:47 ]

Still Cripple as Hell

Acties:

Predator

Suffers from split brain

PNS -> NOS

Everybody lies | BFD rocks ! | PC-specs

zaterdag 8 mei 2004 18:33

Acties:

Hallo SnakeMind, kun je even je smb.conf hier vermelden? Want zeggen dat je dit en dat gedaan hebt maakt het niet veel duidelijker. Het feit dat er connecties gedaan worden vanaf buiten wijst erop dat er ergens iets niet goed staat in je smb.conf. Ik neem iig wel even aan dat je externe interface niet in de interface line in de smb.conf staat?

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

zondag 9 mei 2004 13:49

Acties:

Silence...

Topicstarter

Klopt, die staat er niet in...
Wist niet zeker of ik hem al wel in de TS moest plaatsen, hierbij alsnog:
Dit is mijn gehele smb.conf, het is dus niet als Domain Master, maar puur voor Share definities...

code:

######################################################################
#
# Created by SnakeMind.
#
#######################################################################
[global]
   workgroup = SnakeMind
   log file = /var/log/samba/samba.%m
   max log size = 50
   security = share
;   ssl CA certDir = /etc/ssl/certs
   socket options = TCP_NODELAY
   dns proxy = no
   hosts allow = 192.168.1. 127.
   interfaces = 192.168.1.254/24

#======================= Share Definitions =========================
[Install]
   comment = Install Directories
   path = /data
   browseable = yes
   writable = yes
   guest ok = yes
   create mode = 777
   directory mode = 777


[websites]
        writable = yes
        path = /var/www/sites
        guest ok = yes
        comment = websites
        create mode = 777
        directory mode = 777

[ Voor 7% gewijzigd door SnakeMind op 09-05-2004 13:52 . Reden: lay-out vern**kende code iets smaller gemaakt ]

Still Cripple as Hell

zondag 9 mei 2004 17:50

Acties:

SnakeMind schreef op 09 mei 2004 @ 13:49:
Klopt, die staat er niet in...
Wist niet zeker of ik hem al wel in de TS moest plaatsen, hierbij alsnog:
Dit is mijn gehele smb.conf, het is dus niet als Domain Master, maar puur voor Share definities...
code:
1
2
3
4
5
6
7
######################################################################
#
# Created by SnakeMind.
#
....
   interfaces = 192.168.1.254/24
....

Wat probeer je met deze regel eigenlijk te doen? Want je laat nu luisteren op alle interfaces die in die iprange zitten. Beter is imho om alleen de interface zelf aan te geven... dat is dus of 192.168.1.? of ethX. Ik weet niet hoe je netwerk is opgebouwd, maar misschien dat er in die range nog andere interfaces zitten, die dan weliswaar via de host.allow en host.deny line worden afgevangen, maar daar dan toch een log voor aanmaken.

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

zondag 9 mei 2004 20:01

Acties:

Silence...

Topicstarter

Nee, ik heb er twee interfaces inzitten, de ene is 10.0.0.150 en de andere is deze.
Dit is dus de interface die is ingesteld op dit IP adres.
Wat er vooral vreemd aan is, is dat deze configuratie al bijna een jaar goed heeft gewerkt.
Pas nu ik ben geupgrade naar samba 3.0.3 krijg ik deze logfiles.
Er is volgens mij nog geen exploit bekend die dit zou veroorzaken, en kun je echt niet vanaf het 10.x gedeelte access krijgen op SMB-FS...

Still Cripple as Hell

zondag 9 mei 2004 22:15

Acties:

maandag 10 mei 2004 09:13

naja, zet samba zijn loglevel eens hoger? Zodat je kan zien via welke interface het binnenkomt? En verder verbaas ik me er een beetje over dat die ip's een logentry veroorzaken, als jij vanaf buiten al geen smb conn kan maken?

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

Acties:

maandag 10 mei 2004 20:23

Silence...

Topicstarter

Precies, dat is dus ook wat mij verbaasd... vooral omdat het dus ook zo lang goed is gegaan...
Het zou er dus op duiden dat een van de interne machines deze connecties uitlokt ofzo...
Ik zal in ieder geval de loglevel wat hoger zetten, hopen dat ik vanavond een beetje fatsoenlijke output kan plaatsen dan...

Still Cripple as Hell

Acties:

maandag 10 mei 2004 20:50

Silence...

Topicstarter

Goed... ik heb de log level op 3 gezet, dus we zouden wat meer moeten zien.
Op dit moment ziet een samba.155.x.x.x er als volgt uit:

code:

[2004/05/10 20:08:36, 3] smbd/oplock.c:init_oplocks(1226)
  open_oplock_ipc: opening loopback UDP socket.
[2004/05/10 20:08:36, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(303)
  Linux kernel oplocks enabled
[2004/05/10 20:08:36, 3] smbd/oplock.c:init_oplocks(1257)
  open_oplock ipc: pid = 4535, global_oplock_port = 32785
[2004/05/10 20:08:36, 3] lib/access.c:check_access(313)
  check_access: no hostnames in host allow/deny list.
[2004/05/10 20:08:36, 0] lib/access.c:check_access(328)
  Denied connection from  (155.239.97.39)
[2004/05/10 20:08:36, 1] smbd/process.c:process_smb(883)
  Connection denied from 155.239.97.39
[2004/05/10 20:08:36, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2004/05/10 20:08:36, 2] smbd/server.c:exit_server(568)
  Closing connections
[2004/05/10 20:08:36, 3] smbd/connection.c:yield_connection(69)
  Yielding connection to
[2004/05/10 20:08:36, 3] smbd/connection.c:yield_connection(76)
  yield_connection: tdb_delete for name  failed with error Record does not exist.
[2004/05/10 20:08:36, 3] smbd/server.c:exit_server(611)
  Server exit (connection denied)

(ik kan er niet veel wijs uit worden helaas...)

In de syslog (grep op smb) wordt er ook al niet echt veel vermeld, behalve dan het volgende:

code:

May 10 19:12:09 smbd[4399]: Denied connection from  (217.220.159.179)
May 10 19:39:08 smbd[4464]: [2004/05/10 19:39:08, 0] lib/access.c:check_access(328)
May 10 19:39:08 smbd[4464]: Denied connection from  (62.29.194.203)
May 10 19:49:41 smbd[4515]: [2004/05/10 19:49:41, 0] lib/access.c:check_access(328)
May 10 19:49:41 smbd[4515]: Denied connection from  (200.40.235.177)
May 10 20:08:36 smbd[4535]: [2004/05/10 20:08:36, 0] lib/access.c:check_access(328)
May 10 20:08:36 smbd[4535]: Denied connection from  (155.239.97.39)

Dit lijkt er op dat er dus wel over de interface weer wordt geconnect sinds de update naar 3.0.3... zou toch niet mogen????

Still Cripple as Hell

Acties:

maandag 10 mei 2004 21:29

Ik wil niet vervelend doen, maar als je in je firewall config de poorten voor smb en nmb [edit] niet dichtzet, dan is het toch logisch dat die ip's op de socket kunnen conecten. Alleen heb je de toegang vanuit smb.conf geweigerd. De ip's komen niet voor in je config niet bij hosts allow en niet bij interfaces.

Als ze toegang zouden hebben, tot de smbserver dan had er iets gestaan als ip.ip.ip.ip connected.... bad password or username

of heb ik dit nu helemaal verkeerd?? zeg het gerust hoor, ik neus hier ook rond om er wat van op te steken.

[ Voor 3% gewijzigd door Candymirror op 10-05-2004 21:49 ]

Acties:

maandag 10 mei 2004 22:05

Candymirror schreef op 10 mei 2004 @ 20:50:
Ik wil niet vervelend doen, maar als je in je firewall config de poorten voor smb en nmb dichtzet, dan is het toch logisch dat die ip's op de socket kunnen conecten. Alleen heb je de toegang vanuit smb.conf geweigerd. De ip's komen niet voor in je config niet bij hosts allow en niet bij interfaces.

Als ze toegang zouden hebben, tot de smbserver dan had er iets gestaan als ip.ip.ip.ip connected.... bad password or username

of heb ik dit nu helemaal verkeerd?? zeg het gerust hoor, ik neus hier ook rond om er wat van op te steken.

Mwah bijna goed. Die ip's mogen uberhaupt niet over een interne interface (daar praten we over) connecten. Dat betekend dat de server *die hier ook router is neem ik aan?* ook connecties toelaat over de 10.0.0.x interface, iets waar die duidelijk niet op mag luisteren, gezien de interfaces-line....

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

Acties:

maandag 10 mei 2004 22:06

Volgens mij heb ik het niet duidelijk genoeg gemaakt. Of mischien zie ik het wel helemaal verkeerd... no hard feelings i hope

Ik heb zelf ook een smb draaien... nu weet ik zo niet of het veel uitmaakt of je hem vanuit een deamon of vanuit inetd draait.. maar goed. Nieuwe poging:

Ik heb een smb doos die hangt met eth0 aan i-net. Wanneer ik op m'n doos geen firewall draai, heb ik de poorten naar buiten toe openstaan (over eth0) ongeacht de inhoud van smb.conf. Dus ik zou van buitenaf op de socket (of poorten) voor smb kunnen connecten. Doe ik dat, dan kom ik binnen op de samba server, deze matched dit met de inhoud van smb.conf en komt tot de conclusie dat:
- m'n ip niet voorkomt in hosts alow
- m'n ip niet voorkomt in de range van m'n interfaces

En boem! ik heb een log entry

Wil je dit voorkomen zet je een firewall op en blokeerd de poorten voor smb nmb voor inkomend verkeer naar eth0

Of komen die ip adressen alla 219.huppelpup van het lokale netwerk? lijkt me toch niet

@ zwerver
Want dat is wat jij toch zegt. ik maak uit die log's niet op dat dat zo is. (oops niet goed gelezen)

BTW ik zit net te denken.... ik heb dit ook met maschine's buiten de interface range en ik draai het als deamon.... jullie mischien vanuit de inet superserver?? en topicstarter sinds een upgrade mischien ook als deamon?

[ Voor 18% gewijzigd door Candymirror op 10-05-2004 22:18 ]

Acties:

Verwijderd

Zet die netmask eens naar /32 in je config. Met /24 defineer je een compleet klasse C subnet ipv een ip adres (die je altijd specificeerd met /32).

maandag 10 mei 2004 22:10

Acties:

maandag 10 mei 2004 22:20

Verwijderd schreef op 10 mei 2004 @ 22:06:
Zet die netmask eens naar /32 in je config. Met /24 defineer je een compleet klasse C subnet ipv een ip adres (die je altijd specificeerd met /32).

EDIT
Als je van ip 192.168.1.1 t/m 192.168.1.255 vrij wil doe je het wel zo:)

[ Voor 4% gewijzigd door Candymirror op 10-05-2004 22:12 ]

Acties:

Verwijderd

erm, ik heb het over de regel interfaces. Daar specificeer je nu een compleet klasse C adres ipv een interface of ip adres. Ik durf te wedden dat als je je interface regel naar onderstaand veranderd dat het dan weer gaat werken:

code:

1
2
3

...
interfaces =  192.168.1.254/32
...

mits dat natuurlijk het ip adres is van je interface

edit:

Relevant stukje uit de documentatie:

interfaces = eth0 192.168.1.1
The option interfaces allows you to override the default network interface list that Samba will use for browsing, name registration and other NBT traffic. By default, Samba will query the kernel for the list of all active interfaces and use any interface, except 127.0.0.1, that is broadcast capable. With this option, Samba will only listen on interface eth0 on the IP address 192.168.1.1. This is a security feature, and completes the above configuration option bind interfaces only = True.

Hieruit kun je opmaken dat het zelfs niet nodig is om een host mask op te geven.

[ Voor 58% gewijzigd door Verwijderd op 10-05-2004 22:28 ]

maandag 10 mei 2004 22:49

Acties:

maandag 10 mei 2004 23:05

Ik geloof niet dat bovenstaande helemaal juist is.... Maar goed mijn samba kennis is ook al weer behoorlijk wat jaartjes oud.

Volgens mij als je bovenstaande doet kun je van geen enkele doos meer connecten.

Interfaces zegt nl iets over op welke interface mag liusteren bv eth0 of eth1, of in het geval van een ip met netmask naar welke dosen met een overeenkomstige range en netmask hij mag connecten.

maar mischien ben je dit regeltje wel kwijt

bind interfaces only = yes

mischien?

Acties:

maandag 10 mei 2004 23:25

@candymirror: nee dat is dus niet zo. Bij de interfaces line zet je neer naar welke interface of ip adres er geluisterd moet worden. Meer niet. Dus niks niet dat je daar weer iets kan deny'en qua de afzender. Je zegt alleen Samba: luister naar eth0 met dit ipadres.

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

Acties:

Verwijderd

SnakeMind schreef op 09 mei 2004 @ 13:49:

code:

######################################################################
#
[...]
   hosts allow = 192.168.1. 127.
   interfaces = 192.168.1.254/24
[...]

1. Hoort die spatie tussen 1. en 127?

2. Ik zou bij "interfaces = " inderdaad alleen ethX neerzetten. Niet eens het IP adres. dat kan de kernel wel aanleveren. Het "hosts allow = " regeltje kan dan evt wel weg. Je kan dan toch alleen maar vanaf de interne interface bij het samba gebeuren.

Wat ik overigens niet zeker weet, tellen deze instellingen zowel voor smbd als nmbd?

dinsdag 11 mei 2004 07:53

Acties:

dinsdag 11 mei 2004 08:07

Silence...

Topicstarter

nee, die hosts allow staat er bewust zodat alleen het interne netwerk, maar ook de localhost een (test)connectie op mag zetten. Is meteen de reden van de spatie

Verder: @Candy Ik span grotendeels wat je bedoeld over dat gedeelte van de firewall, maar kun je me dan ook verklaren waarom het tot aan deze versie van samba op deze manier prima gewerkt heeft??
Was dat nou niet zo, dan had ik je groot gelijk gegeven

Btw: bij interfaces alleen ethX neerzetten maakt geen verschil...

Still Cripple as Hell

Acties:

bakkerl

Let there be light.

en zo als r3boot al quote uit de documentatie, er is ook nog de optie 'bind interfaces only'. Deze staat default op NO, en zal die binden op ALLE interfaces, of je nu wel of niet de optie 'interfaces' opgeeft.
Deze regel mis ik in je config.

dinsdag 11 mei 2004 10:47

Acties:

dinsdag 11 mei 2004 16:41

Silence...

Topicstarter

Ik zal die regel inderdaad eens toevoegen, had er door de kleine letters over heen gelezen...

(excuus)

Maar even over die regel, is het dan zo dat dat pas vanaf 3.0.3 er in moet staan?
Zoals ik al aangaf namelijk, is dit probleem onstaan na de laatste update...
En als dat dus inderdaad zo is, waarom staat dit dan niet in de laatste changelog?

Anywayz, iedereen bedankt voor zover voor alle reacties en tips... thx $_/-\o_$

Still Cripple as Hell

Acties:

dinsdag 11 mei 2004 18:27

Ik vond dit een leuk actief topic voor mij. Het spijt me als ik mischien een beetje iri ben overgekomen.

Eerste keer dat ik smb opzette is ergens in 97 geweest. Sinds die tijd is er veel veranderd qua configuratie. in den beginne zat ik op een groot studenten netwerk waar iedereen alles via wfs openzette voor elkaar.. en ik dus onder linux met smb. Tot het moment dat het niet meer mocht.... Toen waren er nog socket options. wat later blijkbaar vervangen is door interfaces. Toen ik hierna herrie kreeg met samba. ook na de nodige update's... ben ik gewoon domweg regels die errors veroorzaakten er uit gaan gooien. Dit heeft mij wel aangespoord om toch maar weer es, heel binnenkort de samba howto door te nemen.

Acties:

MrBarBarian

Once

SnakeMind schreef op 11 mei 2004 @ 10:47:
Ik zal die regel inderdaad eens toevoegen, had er door de kleine letters over heen gelezen... (excuus)

Maar even over die regel, is het dan zo dat dat pas vanaf 3.0.3 er in moet staan?
Zoals ik al aangaf namelijk, is dit probleem onstaan na de laatste update...
En als dat dus inderdaad zo is, waarom staat dit dan niet in de laatste changelog?

Anywayz, iedereen bedankt voor zover voor alle reacties en tips... thx $_/-\o_$

Neen, die zit er al in sinds mijn eerste ervaringen met samba (3 jaar geleden ofzo)

iRacing Profiel

dinsdag 11 mei 2004 19:20

Acties:

woensdag 12 mei 2004 08:08

Silence...

Topicstarter

dat bedoel ik dus, dat zou betekenen dat het niet de oorzaak kan zijn lijkt mij dan...
ik heb het er nu aan toegevoegd en zal later op de avond gaan controleren hoe en wat, en of het nu goed gaat...
@Candy: je kwam op mij niet irri over hoor

het is gewoon een supervaag probleem ineens, en ik wil het gewoon oplossen.

Still Cripple as Hell

Acties: