Samba... Problemy Z Odblokowaniem Jej Portów

[kenczan]

Otóż... mogę przeglądać sieć, mogę pobierać pliki z innych komputerów w sieci, mogę je zapisywać jeżeli uprawnienia pozwolą natomiast jestem !niewidoczny! dla wszystkich komputerów w sieci i nikt nie może się ze mną połączyć ( wpisując \\toshiba-marcin lub \\mójadresip - w windows ) plik smb.conf stworzony na podstawie tego jaki miałem w openSuSE gdzie działał bardzo dobrze... niestety podejrzewam że to nie jego wina, a tego że system ignoruje to co jest zapisane w iptables... mianowicie port 445/tcp jest zamknięty tak samo z resztą jak 137/udp 138/udp 139/tcp. Demony samby działają. Proszę Was drodzy forumowicze o pomoc. Czy to wina SELinux'a czy może iptables zawierają błędy ? Co mam zrobić żeby samba zaczęła działać jak należy ?

Pozdrawiam (dane poniżej)

smb.conf

[global] 
security = share
server string = Samba
workgroup = grupa_robocza
netbios name = toshiba-marcin
wins support = yes
include = /etc/samba/dhcp.conf
encrypt passwords = yes

[shared]
path = /home/kenczan/Shared
browseable = yes
case sensitive = no
create mode = 0755
directory mode = 0770
guest ok = yes
writable = yes
read only = no
comment = Odczyt/Zapis

[Pobieraj]
path = /home/kenczan/Pobrane
browseable = yes
case sensitive = no
guest ok = yes
writable = no
comment = Odczyt
read only = yes

 

iptables status

[root@toshiba-marcin kenczan]# service iptables status
Tablica: nat										  
Chain PREROUTING (policy ACCEPT)					  
num  target	 prot opt source			   destination		 

Chain POSTROUTING (policy ACCEPT)
num  target	 prot opt source			   destination		 
1	MASQUERADE  all  --  192.168.122.0/24	!192.168.122.0/24	

Chain OUTPUT (policy ACCEPT)
num  target	 prot opt source			   destination		 

Tablica: filter
Chain INPUT (policy ACCEPT)
num  target	 prot opt source			   destination		 
1	ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   udp dpt:53
2	ACCEPT	 tcp  --  0.0.0.0/0			0.0.0.0/0		   tcp dpt:53
3	ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   udp dpt:67
4	ACCEPT	 tcp  --  0.0.0.0/0			0.0.0.0/0		   tcp dpt:67
5	ACCEPT	 all  --  0.0.0.0/0			0.0.0.0/0		   state RELATED,ESTABLISHED
6	ACCEPT	 icmp --  0.0.0.0/0			0.0.0.0/0
7	ACCEPT	 all  --  0.0.0.0/0			0.0.0.0/0
8	ACCEPT	 ah   --  0.0.0.0/0			0.0.0.0/0
9	ACCEPT	 esp  --  0.0.0.0/0			0.0.0.0/0
10   ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   state NEW udp dpt:631
11   ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   state NEW udp dpt:137
12   ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   state NEW udp dpt:138
13   ACCEPT	 udp  --  0.0.0.0/0			224.0.0.251		 state NEW udp dpt:5353
14   ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   state NEW udp dpt:137
15   ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   state NEW udp dpt:138
16   ACCEPT	 tcp  --  0.0.0.0/0			0.0.0.0/0		   state NEW tcp dpt:139
17   ACCEPT	 tcp  --  0.0.0.0/0			0.0.0.0/0		   state NEW tcp dpt:445
18   ACCEPT	 udp  --  0.0.0.0/0			0.0.0.0/0		   state NEW udp dpts:137:138
19   ACCEPT	 tcp  --  0.0.0.0/0			0.0.0.0/0		   state NEW tcp dpt:139
20   ACCEPT	 tcp  --  0.0.0.0/0			0.0.0.0/0		   state NEW tcp dpt:445
21   REJECT	 all  --  0.0.0.0/0			0.0.0.0/0		   reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target	 prot opt source			   destination
1	ACCEPT	 all  --  0.0.0.0/0			192.168.122.0/24	state RELATED,ESTABLISHED
2	ACCEPT	 all  --  192.168.122.0/24	 0.0.0.0/0
3	ACCEPT	 all  --  0.0.0.0/0			0.0.0.0/0
4	REJECT	 all  --  0.0.0.0/0			0.0.0.0/0		   reject-with icmp-port-unreachable
5	REJECT	 all  --  0.0.0.0/0			0.0.0.0/0		   reject-with icmp-port-unreachable
6	REJECT	 all  --  0.0.0.0/0			0.0.0.0/0		   reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target	 prot opt source			   destination

 

nmap 127.0.0.1 -p 445

Starting Nmap 5.00 ( http://nmap.org ) at 2009-08-20 00:56 CEST
Interesting ports on toshiba-marcin (127.0.0.1):
PORT    STATE  SERVICE
445/tcp closed microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

 

-----------------------

Przy wklejaniu długich listingów korzystaj ze znaczników [codebox][/codebox] zamiast [code][/code]

[Gość]

Sprawdz czy po starcie systemu usługa nmb jest poprawnie uruchomiona, to ona odpowiada za widoczność naszą w sieci.(u mnie np. jak włącze kompa to też widze wszystkich ale nikt mnie nie widzi bo nie wiadomo czego NMB startuje z błędem i mnie nie widać, dopiero po restarcie usługi jest wsio OK) A to że widzisz innych to nie sprawka samby. Do tego jeszcze sprawdził bym firewalla. U mnie 137udp, 138udp, 139tcp, 445tcp. #system-config-firewall

 

pozdro

[Gość]

nmap 127.0.0.1 -p 445

Starting Nmap 5.00 ( http://nmap.org ) at 2009-08-20 00:56 CEST
Interesting ports on toshiba-marcin (127.0.0.1):
PORT    STATE  SERVICE
445/tcp closed microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

 

Firewall wygląda na ok, ale jeżeli masz wątpliwości zawsze możesz dodać regułę która będzie logować pakiety odrzucone do sysloga (w efekcie w /var/log/messages zobaczysz informacje o odrzuconych pakietach)

W twoim konkretnym przypadku wpisz:

iptables -I INPUT 21 -j LOG

 

Co do skanowania nmapem, to robienie tego z localhosta jest nie miarodajne. Choć w tym przypadku pokazuje, że usługa na tym porcie nie nasłuchuje, więc sugeruje zrobić (nie pamiętam czy samba czy smb więc spróbuj jedno i drugie):

service samba status

ewentualnie

service samba restart

 

 

Pozdrawiam

[@WalDo]

(nie pamiętam czy samba czy smb więc spróbuj jedno i drugie):

"smb".

Ale raczej jak wspomniał powyżej rafii_ chodzi tu bardziej o "nmb". Można dodatkowo zwiększyć ilość komunikatów wystawianych przez serwis (poziom debugowania). W /etc/init.d/nmb odszukać należy linię "daemon nmbd $NMBDOPTIONS" i dopisać przed nią

NMBDOPTIONS="$NMBDOPTIONS -d 10"

Potem restart serwisu. Po rozwiązaniu problemu należy przywrócić poprzednie wartości (skasować dopisana linijkę), bo logi od tego "-d 10" mocno puchną.

No i na wszelki wypadek podobnie można potraktować "smb", ale to chyba bez znaczenia w tym przypadku.

 

[kenczan]

Faktycznie chodziło o nmb, startowało ono z błędem, który kończył jego prace po przeinstalowaniu samby wszystko zaczęło działać jak należy porty nasłuchują oraz inne komputery widzą mój. Muszę teraz poprawić błąd w smb.conf ponieważ mimo tego iż widzę udziały z innego komputera (winxp) to nie mogę ich przeglądać, a tym bardziej pobierać z nich i zapisywać do nich.

[fafig]

a masz konto ustawione i mapowanie uzytkownikow w smbusers ? czy katalog ma odpowiednie prawa dostepu?

[kenczan]

Dodałem użytkowników do samby a ustawienia dostępu do udziałów edytowałem Konquerorem. Porzuciłem pomysł zabezpieczeń przez udział i teraz mój smb.conf wygląda tak:

 

[global]
server string = Samba
workgroup = Grupa_robocza
username map = /etc/samba/smbusers
smb passwd file = /etc/samba/smbpasswd
map to guest = Bad User

[shared]
path = /home/kenczan/Shared/
guest ok = yes
browseable = yes
case sensitive = no
create mode = 0755
directory mode = 0755
writable = yes
read only = no
comment = Oczyt/Zapis

[Pobrane]
path = /home/kenczan/Pobrane/
guest ok = yes
browseable = yes
case sensitive = no
writable = no
read only = yes
comment = Odczyt

 

smbusers

# Unix_name = SMB_name1 SMB_name2 ...
nobody = guest pcguest smbguest
kenczan = Marcin
ktos = ktos Gość

 

Dolecowo mają być dwa udziały z których jeden ma być read only, a drugi ma dawać również możliwość zapisu - najlepiej jeżeli ten z zapisem pytał o użytkownika i hasło, a ten pierwszy pozwalał na odczyt każdemu bez wpisywania czegokolwiek. Aktualnie windows przy wywołaniu \\toshiba-marcin pyta o użytkownika i hasło, a potem odmawia dostępu do udziałów.

[fafig]

jakie masz prawa dostepu do katalogu udostepnianego. autoryzacja na share jest przestarzala (no moze z wyjatkiem guest), teraz sie uzywa na usera. poza tym po co piszesz writable=no a potem readonly=yes? domyslnie jest writable=no i readonly=yes, browsable tez jest ustawione na yes domyslnie. po co dales polskie litery na koncie goscia i po co ci 2 konta goscia jak masz juz nobody jako gosc? czy kenczan jest wlascicielem udostepnianego katalogu? pod jakim katalogiem udostepniasz ten share? /srv/samba ? jesli sciezka jest dluga to musi byc atrybut wykonywalnosci na katalogach dla innych uzytkownikow, bo samba nie bedzie miala dostepu do katalogu. to tak jakbys byl wlascicielem /home/user/plik/ a mial zabroniony dostep do home. mam nadzieje ze to jakos pomoze.

[kenczan]

Podążam za wskazówkami i teraz

[global]
server string = Samba
workgroup = Grupa_robocza
username map = /etc/samba/smbusers
smb passwd file = /etc/samba/smbpasswd
guest ok = yes
map to guest = Bad User

[shared]
path = /home/kenczan/Shared/
guest ok = no
case sensitive = no
create mask = 0755
read only = no
valid user = kenczan
comment = Oczyt/Zapis

[Pobrane]
path = /home/kenczan/Pobrane/
case sensitive = no
valid user = ktos kenczan nobody
comment = Odczyt
guest account = ktos

 

smbusers

# Unix_name = SMB_name1 SMB_name2 ...
kenczan = Marcin kenczan
ktos = ktos Gość guest pcguest smbguest

 

W idealnym przypadku można po wpisaniu \\nazwa-komputera nie trzeba niczego wpisywać, pojawiają się udziały przy wybraniu udziału Pobrane również nie trzeba nic wpisywać i można swobodnie pobierać, natomiast w przypadku Shared trzeba zalogować się na kenczan wpisując hasło i można wrzucać i pobierać pliki. Teraz jest tak że od razu pyta o login i hasło i przy zalogowaniu się na ktos nie można nic a przy zalogowaniu na kenczan można wszystko. Uprawnienia wyglądają tak:

Shared (właściciel kenczan, grupa kenczan) rwx-rwx-r--

Pobrane(właściciel kenczan, grupa kenczan) rwx-rwx-r--

[fafig]

no to pisze przeciez zebys dodal uprawnienia dla innych uzytkownikow chmod o+x (glowne katalogi). +x musi byc tez w sciezce nadrzednej do katalogu. masz konto ktos w linuksie? miales domyslnego nobody to kombinujesz. nobody jest m. in do tego celu.

[kenczan]

Mam konto ktos na linuksie. Czyli mam skasować konto ktos i przekierowywać to wszystko na konto nobody (które nie wymaga hasła), czy wtedy będzie pytał o hasło dopiero przy próbie dostępu do Shared ?? a wcześniej będzie milczał i dawał ściągać z siebie pliki ?Dodałem uprawnienia o których mówiłeś i nic to nie zmieniło. Możesz powiedzieć co (chociaż orientacyjnie) muszę zrobić zeby uzyskać podany przeze mnie scenariusz użycia ?

W idealnym przypadku można po wpisaniu \\nazwa-komputera nie trzeba niczego wpisywać, pojawiają się udziały przy wybraniu udziału Pobrane również nie trzeba nic wpisywać i można swobodnie pobierać, natomiast w przypadku Shared trzeba zalogować się na kenczan wpisując hasło i można wrzucać i pobierać pliki. Teraz jest tak że od razu pyta o login i hasło i przy zalogowaniu się na ktos nie można nic a przy zalogowaniu na kenczan można wszystko.

[fafig]

czy selinux jest wlaczony? jesli tak to czy zasoby maja domyslny kontekst samba_share_t ? domyslnie nie pozwoli Ci sie zalogowac bez hasla, trzeba to wyraznie okreslic w smb.conf. bez hasla mozna wymusic przegladanie zasobow samby. mozna sobie dac dla goscia na share i reszta na usera:

 

[global]
server string = Samba
workgroup = Grupa_robocza
username map = /etc/samba/smbusers
passdb backend = tdbsam
guest account = ktos
security = user

[shared]
path = /home/kenczan/Shared/
case sensitive = no
create mask = 0755
writable=yes
readonly=no
valid user = kenczan
comment = Oczyt/Zapis

[Pobrane]
path = /home/kenczan/Pobrane/
case sensitive = no
comment = Odczyt
guest ok = yes
security = share

 

jednak musi byc writable i readonly pod soba. sorki za wprowadzenie w blad. sproboj teraz czy dziala, ale wczesniej ustaw ten kontekst

[kenczan]

Mam włączonego SELinux'a wywołałem:

chcon -R -h -t samba_share_t Shared
chcon -R -h -t samba_share_t Pobrane

Plik smb.conf wygląda teraz tak j/w. Restart smb i nmb. Idę do drugiego komputera i... Sytuacja przedstawia się tak wpisuję \\toshiba-marcin i wywala pytanie o login i hasło, na ktos nie da się zalogować, logowanie na kenczan daje prawidłowy efekt z Pobrane mogę tylko pobierać do Shared mogę również zapisywać.

[fafig]

a czy ktos jest wlascicielem folderu? lub przynajmniej ma prawa zapisu w nim? a dodales uzytkownika ktos? smbpasswd -a ktos ?

[kenczan]

Do pobranych ma do Shared nie (właścicielami foderów jest kenczan)... pokombinowałem przy smb.conf

 

[global]
server string = Samba
workgroup = Grupa_robocza
username map = /etc/samba/smbusers
passwd program = /usr/bin/passwd %u
passdb backend = tdbsam
guest account = ktos
security = share

[shared]
path = /home/kenczan/Shared/
case sensitive = no
create mask = 0755
writable = yes
readonly = no
valid user = kenczan
comment = Oczyt/Zapis
security = user

[Pobrane]
path = /home/kenczan/Pobrane/
case sensitive = no
readonly = yes
comment = Odczyt
guest ok = yes
security = share

 

i teraz windows nie pyta mnie o hasło przy \\toshiba-marcin ale nie pozwala wejść do żadnego z udziałów.