SAMBA über Internet

[lordlamer]

was ist dort definiert?

Warum ich das so will? Aus rein technischen interesse.

Aus technischem und sicherheitstechnischem wissen willst du das nicht!!!

Na definiert ist dort im windows quellcode das du bei einer netzlaufwerkverbindung den port brauchst!

frank

 

[DerSchatten]

Nun, was kann man an einem Port-Forwarding denn alles falsch machen?

Service Name : SAMBA
Service Type:  TCP/UDP
Starting Port: 135
Ending Port: 139
Server IP Address: 192.168.0.6

Service Name : SAMBA2
Service Type:  TCP/UDP
Starting Port: 445
Ending Port: 445
Server IP Address: 192.168.0.6

Stimmt doch soweit, oder?

Übrigens wenn ich im internen Netz TELNET versuche:
telnet 192.168.0.6 139

bekomme ich nur ein schwarzes Fenster mit blinkendem Cursor. Und weiter tut sich nix.

GRRR...

 

[damager]

Nun, was kann man an einem Port-Forwarding denn alles falsch machen?

Service Name : SAMBA
Service Type:  TCP/UDP
Starting Port: 135
Ending Port: 139
Server IP Address: 192.168.0.6

Service Name : SAMBA2
Service Type:  TCP/UDP
Starting Port: 445
Ending Port: 445
Server IP Address: 192.168.0.6

Stimmt doch soweit, oder?

hmm...eigentlich schon.

Übrigens wenn ich im internen Netz TELNET versuche:
telnet 192.168.0.6 139

bekomme ich nur ein schwarzes Fenster mit blinkendem Cursor. Und weiter tut sich nix.
GRRR...

und das ist auch richtig so!
telnet kann kein smb-sprechen aber diese reaktion bedeutet das auf diesen port irgendein dienst arbeitet.
wenn du sowas von ext. hast ...dann hast du gewonnen ...oder naja, eher verloren...aber das thema ist dir ja nicht so wichtig anscheinend.

was ist jetzt nun mit dem portscan?

 

[DerSchatten]

was ist jetzt nun mit dem portscan?

hmm, am Server oder am Client?

womit soll ich den Port-Scan durchführen?

Was anderes:
Muß an dem Client-Rechner auch irgentwas am router konfiguriert werden? Oder ist das nicht erforderlich?

 

[damager]

nicht immer was "anderes" sondern befolge die ratschläge wenn du holfe willst.

das mit dem portscan ist im post nr. 19 beschrieben.
natürlich von aussen .... und eben am bestern über der portscan-dienst dessen url auch genannt wurde.

 

[theton]

Laeuft auf dem Samba-Rechner evtl. ne SuSE-Firewall, die die Ports nur fuer die DMZ frei gibt? Ich wuerde an deiner Stelle auf jeden Fall mal die iptables ueberpruefen. Ausserdem vergiss nicht, dass fuer Samba auch UDP auf Highports moeglich sein muss (viel Spass mit den Skript-Kiddies ), die SuSE-FW vergisst das naemlich gern mal.

 

[DerSchatten]

Nun, ich möchte nur etweiige Fehlerquellen im vornherein ausschließen.

Das mit dem Port-Scan kann ich dann wohl erst Morgen testen.

Die Firewall in SUSE habe ich deaktiviert, also sollte daran das Problem nicht liegen. Es sei denn SUSE sperrt noch wo anders den Zugang, dann würde allerdings auch intern keine verbindung möglich sein.
iptables spielt ja auch nur dann eine Rolle, denke ich mal.

Mich würde interessieren ob das überhaupt schon jemand erfolgreich getestet hat. Womöglich hackt es ja schon an der Umsetzung des Möglichen.

Danke euch vorerst mal für eure Gedult!

 

[damager]

Nun, ich möchte nur etweiige Fehlerquellen im vornherein ausschließen.

Das mit dem Port-Scan kann ich dann wohl erst Morgen testen.

warum auch immer aber ok.

Mich würde interessieren ob das überhaupt schon jemand erfolgreich getestet hat. Womöglich hackt es ja schon an der Umsetzung des Möglichen.

Danke euch vorerst mal für eure Gedult!

nimm mir das nicht über aber auf diese idee kammen bis her sicher nur sehr wenige. es gibt einfachere möglichkeiten einen windows-rechner im internet zu emulieren *scnr*
spaß bei seite aber das ist schon echt "schräg".

 

[MadJoker]

Also ich habe das verfolgt und verstehe immer noch nicht warum man sowas tun sollte. Ich meine es war ja schon witzig wie vor einigen Monaten aufkam dass viele Leute (mit Windows) ihre rechner im Internet freigegeben hatten. Darauf hin gab es ein riesen Geschrei das es ja viel zu unsicher sei und Microsoft hat dann irgendwann mal einen Patch rausgebracht. Ich bin froh dass es wohl nicht so einfach ist bei Linux.
Meine Daten im Internet.... Ohhh man. (selbst wenn sie nicht wichtig sind)
Also den Grund habe ich immer noch nicht ganz verstanden.
Eine datenverbundung geht doch auch ueber OpenVPN.

 

[theton]

Es gibt sicherlich bessere Alternativen als Samba um Daten im Netz freizugeben, aber den "Forscherdrang" kann ich irgendwie ein wenig nachvollziehen.
Auf jeden Fall haben das schonmal Leute versucht umzusetzen, wenn man sich mal so in anderen Boards umschaut. Da sie aber meist andere Alternativen empfohlen bekommen haben, die nicht so unsicher sind (und meist auch noch einfach einzurichten, wie z.B. SFTP), sind doch alle ganz schnell von ihrer Idee abgesprungen. Samba im Internet ist wirklich keine gute Idee.
Wie auch immer... schau mal sicherheitshalber mit 'iptables -L', ob wirklich alle Regeln entfernt sind. Ansonsten liegt das Problem wahrscheinlich eher im Routing. Wird UDP auf den Highports an den Samba-Rechner weiter geleitet?

 

[DerSchatten]

MadJoker:
muß man auch nicht verstehen, sondern nur eine Lösung anbieten

Ich habe jetzt die vorgeschlagenen Portscans durchgeführt.
Port 139 ist bei mir zuhause offen und hier am Arbeitsplatz als "Port wird durch eine Firewall oder einen Paketfilter uberwacht." gekennzeichnet.

Nur, ich verstehe den zusammenhang nicht ganz. Was hilft mir das in meiner Situation?

habe mal getestet ob ich von hier überhaupt an meinen Router zuhause rann komme: Hat wunderbar funktioniert.

Ich glaube schon fast ich komme hier auf keinen grünen Zweig.
Wohl eher ein Fall für Netzwerkspezialisten.
Am SAMBA-Server kann das problem nicht mehr liegen.

 

[dizzgo]

Hast du denn auf deinem Router ein Portforwarding für die Samba-Ports gemacht?

 

[DerSchatten]

Jawohl:

Service Name : SAMBA
Service Type:  TCP/UDP
Starting Port: 135
Ending Port: 139
Server IP Address: 192.168.0.6

Service Name : SAMBA2
Service Type:  TCP/UDP
Starting Port: 445
Ending Port: 445
Server IP Address: 192.168.0.6

vielleicht hat mein Router einen Fetzen...

VNC Verbindung funktioniert ja auch nicht ganz korrekt obwohl ich diese am Router weiterleite.

 

[luusbueb]

Oder wie gesagt, du hast noch eine 2. Firewall (Software, auf deinem Linuxrechner), welche die Zugriffe verhindert...

 

[DerSchatten]

Dann würde ich aber zumindest in den logs etwas sehen.

 

[theton]

Nicht, wenn keine Kette fuer's Logging definiert ist. 'iptables -L' kann dir darueber Aufschluss geben, ob wirklich keine Firewall auf dem Rechner laeuft. Ich wuerde aber auch tippen, dass dein Router Probleme macht, da es ja im internen Netz funktioniert. Deinem Portscan zufolge wuerde ich sogar sagen, dass dieser die zugelassene IP-Range oder aehnliches filtert. Trotzdem wird dir der freie Port 139 und 445 nichts bringen, wenn UDP auf den Highports nicht durchgelassen wird.

 

[DerSchatten]

Habe ich eine Möglichkeit das zu überprüfen ob bei meinem Router das der Fall ist?

 

[theton]

Klar, einfach mal nen paar UDP-Pakete an die Ports >1024 schicken. Wenn sie ankommen (kann man ja tracen bzw. mit Ethereal oder Snort nachsehen), laesst dein Router das zu. Per Default sollte er das aber eigentlich nur fuer die DMZ erlauben.

 

[DerSchatten]

Wenn sie wo ankommen? Am Router? Wie kann ich denn am Router tracen?

 

[supersucker]

Nein, nicht am Router.

An den Client in deinem intranet an den das geforwardet werden soll.

Auf dem kuckst du dann mit tcpdump oder etherreal nach ob da überhaupt was angekommen ist.