SAMBA über Internet

[DerSchatten]

Hallo,
ich versuche schon seit Tagen mein SUSE 10.1 so einzurichten das ich auf meinen SAMBA-Server aus dem internet zugreifen kann.
Im internen Netz funktioniert alles wunderbar.
Am Netgear-Router habe ich auch die Ports 137-139 & 445 weitergeleitet.
Dennoch kann ich mich per \\214.233.xx.xx\homes nicht auf den Share-Ordner verbinden.

Was mach ich da falsch?

 

[luusbueb]

Könnte verschiedene Ursachen haben....

• Samba reagiert nicht auf Anfragen von unbekannten IP's
• Software-Firewall blockiert Anfragen von Unbekannten IP's auf den SMB Dienst
• Fehler beim Portforwarden

sonst noch jemand eine Idee?

 

[DerSchatten]

Was meinst du mit unbekannte IP's?
Beim portforwarden kann man eigentlich nicht allzuviel falsch machen, außer man verwendet die falschen Ports. Aber die sollten stimmen denke ich.

 

[luusbueb]

Mit unbekannten IP's meine ich IP's, die nicht aus dem bekannten Subnetz stammen, also üblicherweise aus dem Internet.

Und ja, die falschen Ports oder die falsche IP des Servers. (Könnte ja sein...
Oftmals finden sich die Fehler in diesen eigentlich trivialen Angelegenheiten... (bei mir jedenfalls)

 

[DerSchatten]

Und wie bringe ich SAMBA dazu auf Anfragen von unbekannten IP's zu reagieren? Port-Forwarding ist korrekt eingerichtet.

 

[damager]

ausser das es mehr als fahrlässig ist smb über das internet ins lan zu lassen ... was sagen den die samba-logs?

 

[DerSchatten]

log.smbd:

[2006/06/07 09:32:46, 0] smbd/server.c:main(805)
  smbd version 3.0.22-11-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2006/06/07 09:32:47, 0] param/loadparm.c:lp_do_parameter(3449)
  Global parameter guest account found in service section!
[2006/06/07 09:32:47, 0] printing/print_cups.c:cups_cache_reload(85)
  Unable to connect to CUPS server localhost - Connection refused
[2006/06/07 09:32:47, 0] printing/print_cups.c:cups_cache_reload(85)
  Unable to connect to CUPS server localhost - Connection refused
[2006/06/07 09:40:05, 1] libsmb/clispnego.c:parse_negTokenTarg(251)
  Failed to parse negTokenTarg at offset 21
[2006/06/07 09:40:26, 1] libsmb/clispnego.c:parse_negTokenTarg(251)
  Failed to parse negTokenTarg at offset 21
[2006/06/07 09:43:43, 0] smbd/server.c:main(805)
  smbd version 3.0.22-11-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2006/06/07 09:43:43, 0] param/loadparm.c:lp_do_parameter(3449)
  Global parameter guest account found in service section!
[2006/06/07 09:43:44, 0] printing/print_cups.c:cups_cache_reload(85)
  Unable to connect to CUPS server localhost - Connection refused
[2006/06/07 09:43:44, 0] printing/print_cups.c:cups_cache_reload(85)
  Unable to connect to CUPS server localhost - Connection refused

log.nmbd:

2006/06/07 09:32:46, 0] nmbd/nmbd.c:main(727)
  Netbios nameserver version 3.0.22-11-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2006/06/07 09:38:29, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  *****
  
  Samba name server LINUX is now a local master browser for workgroup NETZ on subnet 192.168.0.6
  
  *****
[2006/06/07 09:42:13, 0] nmbd/nmbd.c:terminate(58)
  Got SIGTERM: going down...
[2006/06/07 09:43:44, 0] nmbd/nmbd.c:main(727)
  Netbios nameserver version 3.0.22-11-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2006/06/07 09:45:11, 0] nmbd/nmbd.c:terminate(58)
  Got SIGTERM: going down...

Das wären die zwei logs in der Zeit wo ich versucht habe mich von außen an den SAMBA zu verbinden.
Und nun

 

[damager]

pers. bemerkung:
eigentlich ist es nicht zu verantworten dir dabei zu helfen. smb hat im internet nix zu suchen ...und schon gar nicht irgendwelche home-laufwerke!

die logs sagen nichts dazu aus.
es müsste doch auch client logs geben wenn die zugriff überhaupt bis zum samba-server kommen.

also beispiel:

/var/log/samba#
total 280
-rw-r--r-- 1 root root 1275 May 22 15:30 log.0.0.0.0
-rw-r--r-- 1 root root 39871 Jun 7 18:31 log.192.168.1.1
-rw-r--r-- 1 root root 51300 Jun 2 01:20 log.192.168.1.1.old
-rw-r--r-- 1 root root 0 Apr 30 18:56 log.192.168.1.101
-rw-r--r-- 1 root root 0 May 21 02:31 log.192.168.1.105

sicher das die richtigen ports am router offen sind und diese auch an den samba-server weitergeleitet werden?

ich bitte dich nochmal das zu bedenken samba im internet anzubieten!
wenn du nur datenaustauschen machen willst gibt es viel bessere und sicherere wege...imho ist jeder anderer weg besser und sicherer. sogar ftp.
ist der datenaustausch dein ziel?

 

[h2owasser]

Also die einzige, saubere, verantwortbare Lösung ist wohl ein VPN. Da sollte Samba dann kein großes Problem darstellen

 

[damager]

fullack, aber nicht jeder kann vpn einrichten ...wobei es mit opnevpn doch schon gut und schnell lösbar ist.

aber ssh + scp (winscp für die windows) wäre schon mal ein sehr guter anfang

 

[theton]

Evtl. das Ding als Domaincontroller konfiguriert? Dann hat er naemlich Probleme mit der Domain, die dir der Provider oder ein DNS gibt, klarzukommen. Und auch mal pruefen, ob wirklich alle notwendigen Ports weiter geleitet werden. Sonst kann ich den anderen aber nur zustimmen... Samba hat im Internet nichts verloren. Das Protokoll ansich ist extrem unsicher und die Verbindungen werden nicht verschluesselt. Ich wuerde ja eher SFTP empfehlen. Mit TotalCommander oder dem SSH-Filetransfer kannst du da auch unter Windows problemlos drauf zugreifen. Wenn dir dein Netzwerk also lieb ist, wuerde ich an deiner Stelle diese Aktion gleich wieder abblasen.

 

[damager]

Samba name server LINUX is now a local master browser

Evtl. das Ding als Domaincontroller konfiguriert?

das wäre ein ding! ein DC im internet ... geil
die vermutung könnte auch stimmen *g*

winscp macht ja in grunde sftp
der TotalCommander ist doch shareware oder? winscp wäre dagegen "frei" ...naja, ich meine frei-nutzbar...aber nicht wirklich frei.
naja egal, ihr wisst was ich meine

 

[DerSchatten]

Danke für deine technischen Infos bezüglich Sicherheit, allerdings stellt sich die Frage bei mir aus reinem technischen Interesse.
Der SAMBA-Server ist in dem Falle kein wichtiges Gerät auf dem heikle Daten sind. Wird es womöglich auch nie werden.

Andere logs gibt es bei mir im Samba Verzeichnis nicht. Da liegt der Verdacht wohl sehr nahe das die Verbindung bis zum Rechner gar nicht zustande kommt, sehe ich das so richtig?
Nun woran könnte es dann sonst liegen?

Am Router habe ich wie gesagt die Ports 137-139 & 445 weitergeleitet.
Fehlt mir da noch etwas?
Warum funktioniert denn das intern mit der public-ip???

 

[theton]

Ja, TotalCommander ist Shareware, der SSH-Filetransfer-Client ist aber z.B. beim "normalen" Windows-SSH-Paket dabei und damit auch Freeware. Bedient sich eigentlich wie der TC, wenn ich unseren Entwicklern glauben schenken darf, hat nur weniger Funktionalitaeten.

Nachtrag: Wie sieht denn die Konfiguration aus?

 

[damager]

Danke für deine technischen Infos bezüglich Sicherheit, allerdings stellt sich die Frage bei mir aus reinem technischen Interesse.
Der SAMBA-Server ist in dem Falle kein wichtiges Gerät auf dem heikle Daten sind. Wird es womöglich auch nie werden.

das ist nur die eine seite. der rechner könnte dann benutzt werden um anderen schaden zu verursachen ... DAS dürfte dann nicht in deinem interesse sein
solche "spiele" (sorry wenn ich dir zu nahe trette) macht man nicht im internet!
dafür gibt es lan und verschiedene subnetze die man sich aufbauen kann ... wenn man sowas "testen" will.

Andere logs gibt es bei mir im Samba Verzeichnis nicht. Da liegt der Verdacht wohl sehr nahe das die Verbindung bis zum Rechner gar nicht zustande kommt, sehe ich das so richtig?

das wäre ine erklärung ... ja.

Nun woran könnte es dann sonst liegen?

dann lass man die config sehen vom samba-server... so wie kollege theton auch bereits angefragt hat

schon mal einen portscan von aussen probiert?
evtl. auch mal ein telnet 'deine_internet_ip' 139 probieren um zu sehen ob da ein dienst überhauot antwortet.

 

[DerSchatten]

Bitteschön:

# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-05-02
[global]
workgroup = Netz
printcap name = cups
cups options = raw
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
domain master = no
restrict anonymous = no
preferred master = no
max protocol = NT
ldap ssl = No
server signing = Auto
guest account = derschatten

[homes]
comment = Home Directories
valid users = %S,%D%w%S
read only = no
inherit acls = yes
case sensitive = no
msdfs proxy = no
guest account = nobody

[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700

[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775

Bei telnet 212.xx.xx.xx 139 kommt die Meldung: keine Verbindung möglich.



So eine Frage nebenbei:

Woher weiß Windows eigentlich das es bei einer Netzlaufwerkverbindung den Port 138 zur Verbindung verwenden soll?

 

[lordlamer]

Woher weiß Windows eigentlich das es bei einer Netzlaufwerkverbindung den Port 138 zur Verbindung verwenden soll?

weil das so im quellcode definiert sein wird

wie damager schon sagt bzw angemerkt hat: wieso willst du samba ins internet haben? es gibt da zb ftp oder auch scp welches diesbezüglich viel bessere lösungen sind.

mfg frank

 

[DerSchatten]

was ist dort definiert?

Warum ich das so will? Aus rein technischen interesse.

 

[damager]

Bei telnet 212.xx.xx.xx 139 kommt die Meldung: keine Verbindung möglich.

dann würde ich behaupten das dein port-forwarding falsch ist ... denn wenn es richtig wäre ...dann würde sich dort ein dienst melden

müsste ungefährt so aussehen:

telnet 192.xxx.xxx.xxx 139
Trying 192.xxx.xxx.xxx...
Connected to 192.xxx.xxx.xxx.
Escape character is '^]'.

das würde auch für den port 445 gelten.

mache einen portscan...oder sag uns deine public-ip adresse
oder über http://www.port-scan.de/

So eine Frage nebenbei:
Woher weiß Windows eigentlich das es bei einer Netzlaufwerkverbindung den Port 138 zur Verbindung verwenden soll?

weil das smb-protokoll bzw das netbios-ssn es so bestimmt.

zitat http://www.terramatrix.de/svp/sicherheits_faq.html :

(Port UDP 137) = netbios-ns was soviel heißt wie "netbios name service" und er ist für die NetBios Namensauflösung (der eingetragene WINS Name wird der IP zugeordnet) zuständig.

(Port UDP 13 = netbios-dgm was soviel heißt wie "netbios datagram services" er ist u.a. für Login und Browsing über das NetBios zuständig.

(Port TCP 139) = netbios-ssn was soviel heißt wie "netbios session service" darüber läuft der Zugriff auf die Drucker- und Dateifreigaben.

dein technisches interesse in allen ehren ...aber das ist kein argument so fahrlässig zu handeln.
mehr kann ich dazu echt nicht sagen...

 

[theton]

Wenn du nicht mal per Telnet rauf kommst, vermute ich mal, dass der Port auch nicht zur Verfuegung steht. Da du im internen Netz keine Probleme hast, wird es also vermutlich an deinem Routing liegen. Deine Konfig scheint jedenfalls soweit ok. Evtl. zur besseren Fehleranalyse mal das Log-Level etwas hoeher drehen, bis wirklich alles laeuft, was du brauchst.

Nachtrag: @damager: Full ACK, aber es ist ja sein Netzwerk.