000
09.09.2004, 09:31 Uhr
~Benny
Gast
|
Ich habe ein Problem, wenn ich die Firewall starte geht mein PDC nicht mehr, also ich habe keinen Zugriff, finde den Fehler aber nicht.
PDC: eth0: 192.168.100.171 eth1: 192.168.150.160
Client: (windows) IP: 192.168.150.1
Firewall
Code: |
#!/bin/sh
# -- Variablendeklaration
declare +i pfad
# -- Netzwerkkarten definieren für IN und OUTPUT
EXTERN="eth0" INTERN="eth1"
# -- Pfadangaben
pfad="/etc/firewall/" IPTL="/sbin/iptables"
# -- Überprüfen ob der Pfad korrekt ist
ls $pfad 2>/dev/null >/dev/null
case "$?" in 1) echo "Der Pfad muss in der Datei 'firewall' angepasst werden" exit 2 ;; esac
#---------------------------------------------------------------------- #--------------------------BEGIN---------------------------------------
case "$1" in
start)
# -- Abfrage ob das Externe Devise online ist
ifconfig $EXTERN 2>/dev/null >/dev/null
if [ $? -ne 0 ] ; then echo "$EXTERN ist nicht online!" exit 1 fi
# -- IPTables Kernel-Module für FTP und IRC laden
/sbin/modprobe ip_conntrack_ftp 2> /dev/null /sbin/modprobe ip_conntrack_irc 2> /dev/null
echo -e "\nFirewall Version 0.0.1 wird geladen ..\n"
# -- TCP Ports welche freigegeben werden sollen
TCPPorts="22 25 80 1352"
# -- UDP Ports welche freigegeben werden sollen
UDPPorts="113"
# -- Netzwerkkarten für IN und OUTPUT
echo " Externes Interface: $EXTERN" echo " Internes Interface: $INTERN"
# -- Standard Einstellungen herstellen
echo -e "\n Standard Einstellungen werden hergestellt.." echo -e "\n ..alle Ports werden geschlossen"
#Alles "dicht" machen und alle vorangegangenen Regeln löschen $IPTL -P INPUT DROP $IPTL -P OUTPUT DROP $IPTL -P FORWARD DROP $IPTL -F $IPTL -X $IPTL -F -t nat
# -- IP Forwarding aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward
# -- Schutz vor SYN-flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
# -- ICMP Echo-Broeadcasts ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
# -- Ungültige ICMP-Antworten ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
# -- ICMP nur entgegennehmen, wenn erwartet
$IPTL -A INPUT -p icmp --icmp-type echo-reply -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type destination-unreachable -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type network-unreachable -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type host-unreachable -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type protocol-unreachable -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type port-unreachable -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type source-route-failed -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type network-unknown -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type host-unknown -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type network-prohibited -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type host-prohibited -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type time-exceeded -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type ttl-zero-during-transit -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type ttl-zero-during-reassembly -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type parameter-problem -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type ip-header-bad -d 0/0 -j ACCEPT $IPTL -A INPUT -p icmp --icmp-type required-option-missing -d 0/0 -j ACCEPT
# -- Nur entgegennehmen von Paketen die auch erwartet werden (Antowrt von Anfrage)
echo -e " ..nur erwartete Pakete werden angenommen" $IPTL -A FORWARD -i $INTERN -o $EXTERN -j ACCEPT $IPTL -A FORWARD -i $EXTERN -o $INTERN -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTL -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTL -A OUTPUT -j ACCEPT
# -- Weiterleiten der Informationen vom LAN zum Inet
echo -e " ..Routing von LAN zu INET wird aktiviert\n" $IPTL -A POSTROUTING -t nat -o $EXTERN -j MASQUERADE
# -- Kommunikation interner Netzwerkkarten erlauben
$IPTL -A INPUT -i lo -j ACCEPT $IPTL -A OUTPUT -o lo -j ACCEPT
$IPTL -A INPUT -i $INTERN -j ACCEPT $IPTL -A OUTPUT -o $INTERN -j ACCEPT
# -- TCP Ports freigeben
for Port_range in $TCPPorts ; do
echo -e " TCP Port $Port_range wird geöffnet.." $IPTL -A INPUT -i $EXTERN -p tcp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT $IPTL -A OUTPUT -o $EXTERN -p tcp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT
done
# -- UDP Ports freigeben
for Port_range in $UDPPorts ; do
echo -e "\n UDP Port $Port_range wird geöffnet.." $IPTL -A INPUT -i $EXTERN -p udp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT $IPTL -A OUTPUT -o $EXTERN -p udp --dport $Port_range -m conntrack --ctstate NEW -j ACCEPT
done
# -- IPtables Logging an
$IPTL -I FORWARD -i $EXTERN $IPTL -I FORWARD -o $EXTERN
# -- Ende des Firewallscripts
echo -e "\n.. Firewall wurde ausgeführt\n"
echo "1" >"$pfad"status ;;
stop) #.. ;;
restart) $0 stop $0 start
;;
routing) echo -e "\nRouting OHNE Firewall wird aktiviert.."
$0 stop 2>/dev/null >/dev/null
echo 1 > /proc/sys/net/ipv4/ip_forward
# -- Routing von $INTERN auf $EXTERN
echo -e "\n INPUT Interface: $INTERN" echo -e " OUTPUT Interface: $EXTERN"
$IPTL -A FORWARD -i $INTERN -o $EXTERN -j ACCEPT $IPTL -A FORWARD -i $EXTERN -o $INTERN -j ACCEPT
$IPTL -A INPUT -j ACCEPT $IPTL -A OUTPUT -j ACCEPT
# -- Weiterleiten der Informationen vom LAN zum Inet
echo -e "\n Routing von LAN zu INET wird aktiviert.." $IPTL -A POSTROUTING -t nat -o $EXTERN -j MASQUERADE
# -- Kommunikation interner Netzwerkkarten erlauben
# $IPTL -A INPUT -i lo -j ACCEPT # $IPTL -A OUTPUT -o lo -j ACCEPT
# $IPTL -A INPUT -i $INTERN -j ACCEPT # $IPTL -A OUTPUT -o $INTERN -j ACCEPT
echo -e "\n.. Routing aktiviert\n"
echo "4" >"$pfad"status ;;
config) #... ;;
status) #... ;;
*) echo "Usage: $0 {start|stop|restart|config|status}" exit 1 ;;
esac
exit 0
|
smb.conf
Code: |
#======================= Global Settings =======================
[global]
#== Interface auf das gehört werden soll
#interfaces = 192.168.150.160/255.255.255.0 #bind interfaces only = yes
#== Netzwerke, welche auf Samba zugreifen dürfen
#hosts allow = 127.0.0.1 192.168.150.0/24 192.168.100.0/24 #hosts deny = 0.0.0.0/0 #hosts allow = 0.0.0.0/0
#== Identifikation des PDC ==
netbios name = linuxtests workgroup = linuxtestg server string = Samba %v (PDC) #== Standardeinstellungen (alles verbieten) ==#
browsable = no public = no writeable = no guest ok = no #== Logfiles ==#
logfile = /var/log/samba/log.%m panic action = /usr/share/samba/panic-action %d
#== Definition des PDC ==#
domain master = yes prefered master = yes local master = yes domain logons = yes os level = 65 security = user admin users = user01 #== Passwort Einstellungen zur Kommunikation Samba Windows
encrypt passwords = true update encrypted = yes password level = 4 passwd program = /usr/bin/passwd %U obey pam restrictions = Yes pam password change = Yes passwd chat = *New*password* %n\n *Reenter*new*password* %n\n *Password$ unix password sync = Yes
#== Logon Einstellungen ==#
logon path = H: logon path = \\linuxtests\profiles\%U #logon home = \\linuxtests\sambaset\user\%U\winprofile logon script = %U.bat
#== Performance Einstellungen ==#
short preserve case = yes preserve case = yes max log size = 5000 case sensitive = no default case = lower mangle read raw = yes write raw = yes socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY oplocks = yes fake oplocks = no debug level = 2 getwd cache = yes
#== Datenbankformat ==#
passdb backend = tdbsam guest
passwd chat = *New*password* %n\n *Reenter*new*password* %n\n *Password$
#== Neuen User hinzufügen Script ==#
add user script = useradd -d /tmp -s /dev/false %U
[netlogon] path = /sambaset/netlogon read only = yes write list = admin
[profiles] comment = Benutzerprofile path = /sambaset/profiles writeable = yes #read only = no #create mask = 0600 #directory mask = 0700 browsable = yes
[Tausch] comment = Tausch Ordner read only = No writeable = yes directory mask = 700 browseable = yes path = /sambaset/tausch
|
Also, wenn ich ein routing bei der firewall mache, ohne firewall und bei die smb.conf so verwende, wie so dort ist. Dann komme ich über das eth0 vom PDC an den Samba ran. Wenn ich die firewall ausführe komm ich nicht mehr ran. Wenn ich routing drin hab und "interfaces" bei der smb.conf aktiviere, dann komme ich auch nicht ran.
Ich weiß nicht mehr weiter. Bitte helft mir. DANKE
Grüßer Benny |