Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » GNU/Linux » Firewall gestartet -> PDC geht nicht mehr

Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
09.09.2004, 09:31 Uhr
~Benny
Gast


Ich habe ein Problem, wenn ich die Firewall starte geht mein PDC nicht mehr, also ich habe keinen Zugriff, finde den Fehler aber nicht.

PDC:
eth0: 192.168.100.171
eth1: 192.168.150.160

Client: (windows)
IP: 192.168.150.1

Firewall

Code:
#!/bin/sh

# -- Variablendeklaration

    declare +i pfad

  # -- Netzwerkkarten definieren für IN und OUTPUT

    EXTERN="eth0"
    INTERN="eth1"

  # -- Pfadangaben

    pfad="/etc/firewall/"    
    IPTL="/sbin/iptables"

  # -- Überprüfen ob der Pfad korrekt ist

    ls $pfad 2>/dev/null >/dev/null

    case "$?" in
      1)
        echo "Der Pfad muss in der Datei 'firewall' angepasst werden"
        exit 2
      ;;
    esac

#----------------------------------------------------------------------
#--------------------------BEGIN---------------------------------------


case "$1" in

  start)

    # -- Abfrage ob das Externe Devise online ist

    ifconfig $EXTERN 2>/dev/null >/dev/null

    if [ $? -ne 0 ] ; then
        echo "$EXTERN ist nicht online!"
        exit 1
    fi

    # -- IPTables Kernel-Module für FTP und IRC laden

      /sbin/modprobe ip_conntrack_ftp 2> /dev/null
      /sbin/modprobe ip_conntrack_irc 2> /dev/null


      echo -e "\nFirewall Version 0.0.1 wird geladen ..\n"

    # -- TCP Ports welche freigegeben werden sollen

      TCPPorts="22 25 80 1352"

    # -- UDP Ports welche freigegeben werden sollen

      UDPPorts="113"

    # -- Netzwerkkarten für IN und OUTPUT

      echo " Externes Interface: $EXTERN"
      echo " Internes Interface: $INTERN"

    # -- Standard Einstellungen herstellen

      echo -e "\n Standard Einstellungen werden hergestellt.."
      echo -e "\n ..alle Ports werden geschlossen"

      #Alles "dicht" machen und alle vorangegangenen Regeln löschen
      $IPTL -P INPUT DROP
      $IPTL -P OUTPUT DROP
      $IPTL -P FORWARD DROP
      $IPTL -F
      $IPTL -X
      $IPTL -F -t nat

    # -- IP Forwarding aktivieren

      echo 1 > /proc/sys/net/ipv4/ip_forward

    # -- Schutz vor SYN-flood

      echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null

    # -- ICMP Echo-Broeadcasts ignorieren

      echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null

    # -- Ungültige ICMP-Antworten ignorieren

      echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null

    # -- ICMP nur entgegennehmen, wenn erwartet

      $IPTL -A INPUT -p icmp --icmp-type echo-reply -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type destination-unreachable -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type network-unreachable -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type host-unreachable -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type protocol-unreachable -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type port-unreachable -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type source-route-failed -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type network-unknown -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type host-unknown -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type network-prohibited -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type host-prohibited -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type time-exceeded -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type ttl-zero-during-transit -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type ttl-zero-during-reassembly -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type parameter-problem -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type ip-header-bad -d 0/0 -j ACCEPT
      $IPTL -A INPUT -p icmp --icmp-type required-option-missing -d 0/0 -j ACCEPT

    # -- Nur entgegennehmen von Paketen die auch erwartet werden (Antowrt von Anfrage)

      echo -e " ..nur erwartete Pakete werden angenommen"
      $IPTL -A FORWARD -i $INTERN -o $EXTERN -j ACCEPT
      $IPTL -A FORWARD -i $EXTERN -o $INTERN -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

      $IPTL -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      $IPTL -A OUTPUT -j ACCEPT

    # -- Weiterleiten der Informationen vom LAN zum Inet

      echo -e " ..Routing von LAN zu INET wird aktiviert\n"
      $IPTL -A POSTROUTING -t nat -o $EXTERN -j MASQUERADE

    # -- Kommunikation interner Netzwerkkarten erlauben

      $IPTL -A INPUT -i lo -j ACCEPT
      $IPTL -A OUTPUT -o lo -j ACCEPT

      $IPTL -A INPUT -i $INTERN -j ACCEPT
      $IPTL -A OUTPUT -o $INTERN -j ACCEPT

    # -- TCP Ports freigeben

     for Port_range in $TCPPorts ; do

      echo -e " TCP Port $Port_range wird geöffnet.."
      $IPTL -A INPUT -i $EXTERN -p tcp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT
      $IPTL -A OUTPUT -o $EXTERN -p tcp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT

     done

    # -- UDP Ports freigeben

     for Port_range in $UDPPorts ; do

      echo -e "\n UDP Port $Port_range wird geöffnet.."
      $IPTL -A INPUT -i $EXTERN -p udp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT
      $IPTL -A OUTPUT -o $EXTERN -p udp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT

     done

    # -- IPtables Logging an

      $IPTL -I FORWARD -i $EXTERN
      $IPTL -I FORWARD -o $EXTERN

    # -- Ende des Firewallscripts

      echo -e "\n.. Firewall wurde ausgeführt\n"

      echo "1"  >"$pfad"status
  ;;


  stop)
    #..
  ;;


  restart)
    $0 stop
    $0 start

  ;;

  routing)
    
    echo -e "\nRouting OHNE Firewall wird aktiviert.."

    $0 stop 2>/dev/null >/dev/null

    echo 1 > /proc/sys/net/ipv4/ip_forward

    # -- Routing von $INTERN auf $EXTERN

      echo -e "\n INPUT Interface: $INTERN"
      echo -e " OUTPUT Interface: $EXTERN"

      $IPTL -A FORWARD -i $INTERN -o $EXTERN -j ACCEPT
      $IPTL -A FORWARD -i $EXTERN -o $INTERN -j ACCEPT

      $IPTL -A INPUT -j ACCEPT
      $IPTL -A OUTPUT -j ACCEPT

    # -- Weiterleiten der Informationen vom LAN zum Inet

      echo -e "\n Routing von LAN zu INET wird aktiviert.."
      $IPTL -A POSTROUTING -t nat -o $EXTERN -j MASQUERADE

    # -- Kommunikation interner Netzwerkkarten erlauben

    #  $IPTL -A INPUT -i lo -j ACCEPT
    #  $IPTL -A OUTPUT -o lo -j ACCEPT

    #  $IPTL -A INPUT -i $INTERN -j ACCEPT
    #  $IPTL -A OUTPUT -o $INTERN -j ACCEPT

    echo -e "\n.. Routing aktiviert\n"

    echo "4"  >"$pfad"status
  ;;

  config)
    #...
  ;;

  status)
   #...
  ;;

  *)
    echo "Usage: $0 {start|stop|restart|config|status}"
    exit 1
  ;;

esac

exit 0

smb.conf

Code:
#======================= Global Settings =======================

[global]

#== Interface auf das gehört werden soll

        #interfaces = 192.168.150.160/255.255.255.0
        #bind interfaces only = yes

#== Netzwerke, welche auf Samba zugreifen dürfen

        #hosts allow = 127.0.0.1 192.168.150.0/24 192.168.100.0/24
        #hosts deny = 0.0.0.0/0
        #hosts allow = 0.0.0.0/0

#== Identifikation des PDC ==

    netbios name = linuxtests
    workgroup = linuxtestg
    server string = Samba %v (PDC)
    
#== Standardeinstellungen (alles verbieten) ==#

    browsable = no
    public = no
    writeable = no
    guest ok = no
    
#== Logfiles ==#

    logfile = /var/log/samba/log.%m
    panic action = /usr/share/samba/panic-action %d

#== Definition des PDC ==#

    domain master = yes
    prefered master = yes
    local master = yes
    domain logons = yes
    os level = 65
    security = user
    admin users = user01
    
#== Passwort Einstellungen zur Kommunikation Samba Windows

    encrypt passwords = true
    update encrypted = yes
    password level = 4
    passwd program = /usr/bin/passwd %U
    obey pam restrictions = Yes
    pam password change = Yes
        passwd chat = *New*password* %n\n *Reenter*new*password* %n\n *Password$
    unix password sync = Yes

#== Logon Einstellungen ==#

        logon path = H:
    logon path = \\linuxtests\profiles\%U
        #logon home = \\linuxtests\sambaset\user\%U\winprofile
        logon script = %U.bat

#== Performance Einstellungen ==#

    short preserve case = yes
    preserve case = yes
    max log size = 5000
    case sensitive = no
    default case = lower mangle
    read raw = yes
    write raw = yes
        socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY
    oplocks = yes
    fake oplocks = no
    debug level = 2
    getwd cache = yes

#== Datenbankformat ==#

    passdb backend = tdbsam guest

        passwd chat = *New*password* %n\n *Reenter*new*password* %n\n *Password$

#== Neuen User hinzufügen Script ==#

    add user script = useradd -d /tmp -s /dev/false %U


[netlogon]
    path = /sambaset/netlogon
    read only = yes
    write list = admin

[profiles]
    comment = Benutzerprofile
    path = /sambaset/profiles
    writeable = yes
    #read only = no
    #create mask = 0600
    #directory mask = 0700
    browsable = yes

[Tausch]
        comment = Tausch Ordner
        read only = No
        writeable = yes
        directory mask = 700
        browseable = yes
        path = /sambaset/tausch


Also, wenn ich ein routing bei der firewall mache, ohne firewall und bei die smb.conf so verwende, wie so dort ist. Dann komme ich über das eth0 vom PDC an den Samba ran.
Wenn ich die firewall ausführe komm ich nicht mehr ran.
Wenn ich routing drin hab und "interfaces" bei der smb.conf aktiviere, dann komme ich auch nicht ran.

Ich weiß nicht mehr weiter. Bitte helft mir. DANKE

Grüßer Benny
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
09.09.2004, 10:02 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


lass mal firewall aus und probier samba mit interfaces. Dann sollte man nur über eth1 drauf zugreifen können! Du musst Windows am besten auch sagen welche IP er nutzen soll (also am besten mit \\192.168.150.160\ mal probieren drauf zu gehen)

Ansonsten musst du natürlich die Ports für Samba freischalten, also UDP 139.
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
09.09.2004, 10:07 Uhr
~Benny
Gast


Warum ports freigeben, ich geb doch den ganzen internen netzverkehr frei.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
09.09.2004, 10:21 Uhr
~Benny
Gast


Also ich hab die firewall nicht ausgeführt und dann hab ich noch die interfaces = eth1 gemacht aber ich komm nicht drauf.

Aber ich habe nichts am Samba geändert und der lief, jetzt komm ich nicht mehr drauf, das versteh ich nicht.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
10.09.2004, 09:20 Uhr
~Benny
Gast


Also es geht jetzt,

bei der smb.conf habe ich host allow aktiv setzen müssen,
die firewall konnte ich einfach so ausführen

und das netzwerkkabel musste ich durch den ganzen switch bis ich einen funktionierenden port ohne wackler gefunden hab

trotzdem danke für eure hilfe
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ GNU/Linux ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: