SAMBA über Internet

[theton]

Es geht nicht darum, ob die beim Router ankommen, sondern beim Sambarechner. Nen Rechner ausserhalb deines Netzwerks ist dafuer natuerlich notwendig, aber bei so'nem (sorry... ziemlich idiotischen) Unterfangen musst du wohl damit rechnen, dass nicht alles reibungslos laeuft, weil kaum ein vernuenftiger Mensch sowas bisher bis zum Ende durchgezogen hat und die die's gemacht haben, haben (gluecklicherweise) darauf verzichtet nen passendes Howto dafuer zu schreiben. Aber faszinierend, dass du dir soviel Aufwand machst nen Sicherheitsloch in dein Netzwerk zu reissen, wo du ne sichere Alternative in 10 Minuten haben koenntest (SSH-Server installieren, starten, Port 22 forwarden, fertig ist der SFTP-Server)
Also: Mit SSH o.ae. auf irgend'ne Kiste ausserhalb deines Netzwerkes verbinden. Dort mit einem Paket-Generator (z.B. http://sourceforge.net/projects/ant/ ) ein UDP-Paket generieren und mal testweise an deinen Router auf die Ports >60000 schicken. Dabei auf der Samba-Kiste nen Traffic-Analyzer (snort, tcpdump, ethereal o.ae.) laufen lassen und schauen, ob das Paket ankommt.
Jaja, Fehler-Analyse im Routing ist nicht einfach, vor allem, wenn es sich um nen Hardware-Router dreht, auf dem kein anstaendiges OS zur Verfuegung steht. Mit selbiger Technik kannst du auch ueberpruefen, ob TCP-Pakete auf Port 139 durchgelassen werden.

 

[DerSchatten]

Tja, ich bleib da standhaft
SAMBA is ja schon fix fertig drauf, also warum zusätzliche Software installieren? Sicherheit ist in dem Fall für mich kein Thema, weil wie gesagt das Gerät ein Standalone-Server ist der nach erfolgreicher SAMBA-Verbindung wieder deaktiviert wird.

Aber gehen wir mal davon aus das (so wie es den anschein hat) die pakete nicht zum SAMBA-Rechner gelangen, welche Erkenntnis bringt mir dieses zusätzliche Paketeschicken, Traffic-Analyzer, etc. für eine hilfreiche Erkenntnis?

Vielleicht hilft es wenn ich euch meine Router-Type nenne: Netgear WGT624

 

[theton]

Wenn du davon ausgehst, wird dir das sicherlich keine neuen Erkenntnisse bringen, aber du koenntest es dann mit Sicherheit sagen. Evtl. kommen ja die Pakete an, werden nur von deinem Router "zerstoert" so dass Samba damit nichts mehr anfangen kann, was dann auf einen Bug in der Router-Firmware hinweisen koennte.
Aber dein Ding. Ich halte dieses ganze Unterfangen fuer recht sinnlos, da du dort gerade deine Zeit mit etwas verschwendest, was du nie wieder im Leben brauchen wirst. Somit ist das ein Experiment ohne Ziel, was mir irgendwie ein wenig unverstaendlich ist. Wie gesagt, mit einem SSH-Server waere dein Problem des Remote-Zugriffs auf Dateien in 10 Minuten geloest. An dem Samba-Kram sitzt du jetzt schon seit Tagen. Sowas nenne ich mal erfolgreich ineffektiv. Sagt ja keiner, dass du Samba fuer SFTP ausmachen musst. Nutze halt Samba im LAN und fuer Remote-Zugriff biete SFTP an. Machen viele Firmen so und diese Strategie hat sich bewaehrt. Kein vernuenftig denkender Admin wuerde jemals auf die Idee kommen nen Samba-Server ins Internet zu stellen, da (wie bereits mehrfach erwaehnt) schon das Protokoll unsicher ist.

 

[sono]

Der Explorer unter Windows kann sowohl ftp als auch webdav. Da es dich so oder so nicht interessiert könntest du dann direkt mal deine dyndns adresse posten. Hier gibts sicher auch ein paar die gerne mal ihren Forschergeist etwas befriedigen würden.

Aber na ja.
Mal ne Andere Frage. Wie prüftst du denn ob dein server erreichbar ist?

Von dir drinnen oder sitzt da auserhalb im Internet einer der versucht auf dich zuzugreifen?

Nach meinen Erfahrungen geht das nämlich schief wenn du von innen versuchst nach über das internet auf dein netzwerk zuzugreifen. Die meisten standard dsl Router schnallen das nischt ganz.

Gruß Sono

 

[MadJoker]

Ich hatte an meinem Router die einstellung Firewall. Ich kann mich erinnern das dort der port 139 immer ins internet geblockt wurde. Auch wenn ich das forwarding aktiv hatte.
Die Firewall im router kann man bei meinem abschalten. Oder setz deinen Server mal in die DMZ. Mal sehen ob es dann besser geht.

 

[DerSchatten]

theton:
Bist aber auch ganz schön hartneckig. Ich muß dir ja schon kräftig auf die nerven gehn
Also ich gehe mal ganz sicher davon aus das es so ist und das problem beim Router liegt. Was ja auch die telnet-versuche gezeigt haben.
Also ich verschwende gerne zeit für solche Dinge. Bin ja in der Beziehung sehr wissbegierig und probiere gerne alles mögliche aus.

Meine Adresse hier zu posten wäre vielleicht keine so gute idee, das würde ja die Security-Theorie von theton total über den haufen werfen. (Wer weiß wer da aller mitliest
Ich prüfe die verbindung wie du schreibst, indem ich einen Freund bitte auf den Server zu verbinden bzw. von der Firma aus.
Wie meinst das, das es schief geht? Gleichzeitig von innen und von außen?

Der Tip mit Firewall wäre ein erneuter Lichtblick. Deaktivieren werde ich noch probieren und DMZ.
Welches Gerät muß ich denn als DMZ eintragen? Den SAMBA-Server?

 

[MadJoker]

Ja, den Server auf den Du zugreifen willst.
Dem entsprechend also der Samba Server.
Aber lass dir gesagt sein, du setzt damit wirklich den ganzen Rechner (zumindest Linux mit Samba) dem offenen Internet aus.
Die DMZ gibt dir die moeglichkeit einen Rechner ohne Restriktionen ins Internet zu setzen. (manchmal ganz nuetzlich wenn man nicht immer die Ports freischalten will)
Die Firewall abschalten ist natuerlich auch fuer die anderen Rechner im Netz gefaehrlich. Somit kann dann jeder in dein LAN und dort rum machen. (sollte so kein problem sein wenn Firewall auf den Clients aktiv und richtig konfiguriert ist)

 

[luusbueb]

Ja, du musst den Sambaserver als DMZ eintragen.

Zu dem Hinweis von Sono bezüglich "von Innen über das Internet auf deinen Samba Server"

Das Problem ist, dass du von der Internen Schnittstelle des Routers (LAN) eine Anfrage an einen Dienst im Internen Netz stellst. Und diese "Kehrtwende" können die meisten Router nicht. (Weiss ich aus eigener Erfahrung )

 

[DerSchatten]

Das Problem ist, dass du von der Internen Schnittstelle des Routers (LAN) eine Anfrage an einen Dienst im Internen Netz stellst. Und diese "Kehrtwende" können die meisten Router nicht. (Weiss ich aus eigener Erfahrung )

Hm, das versteh ich jetzt nicht ganz.
Intern funktioniert ja alles wunderbar.

MadJoker:
wie hast du eigentlich damals festgestellt das der Port 139 von der Firewall blockiert wird? Testweise deaktiviert?
Blockiert die Firewall eigentlich auch die DMZ-Konfiguration?

 

[theton]

Es gibt immer zwei Wege auf einen Rechner zuzugreifen:
Weg 1: direkter Zugriff auf das Netzwerk-Interface
Weg 2: Zugriff auf das Interface ueber seinen zugeteilten Hostname. Nutzt du diesen Weg, geht die Verbindung erst raus zu deinem Provider und dann wieder zurueck zu dir. Und damit kommen viele Hardware-Router nicht klar. Eine Verbindung, die scheinbar von ihm selbst kommt (nach aussen ist ja nunmal nur die IP des Routers sichtbar) und an ihn zurueck gehen soll.

 

[MadJoker]

Ich habe es leider nicht getestet, aber stand so im Benutzerhandbuch von meinem Router.
SMC hatte da eine recht ausfuehrliche Beschreibung mit allen standart Ports, ob sie blockiert werden oder nicht und was die einzelnen Einstellungen bewirken.
Hatte das problem mit anderen ports fuer Azureus. (6881 bis 6889)
Diese waren von Werk aus als "boese" Ports eingestuft. Ohh ja, ich bin der Teufel! Un Azureus die Hoelle.
Naja, jetzt habe ich einen Linksys Router. Da kann ich das nicht mehr nachvollziehen ob der das mit port 139 macht zumindest ist es nicht im Handbuch beschrieben. Meine Ports fuer Azureus kann ich ohne Probleme freigeben. Ehrlich gesagt austesten ob ich die freigabe machen kann will ich auch nicht da meine IP mindestens immer fuer einen Monat festgeschrieben ist (Road Runner ueber Kabel) und ich mindestens 3 Rechner am Netzwerk habe. (einen WinXP von meiner Freundin)
Die DMZ ist die DeMillitarisierte Zone und somit sollte sie vollkommen ungeschuetzt sein. Ich meine probier es mal vielleicht bewirkt es was.

 

[lordlamer]

Die DMZ ist die DeMillitarisierte Zone und somit sollte sie vollkommen ungeschuetzt sein. Ich meine probier es mal vielleicht bewirkt es was.

Ähm, dann hast du was an DMZ nicht verstanden wenn sie vollkommen ungeschützt ist. Wenn man nen richtigen Router bzw Firewall hat ist da nichts ungeschützt. Die tollen billigrouter für zu Hause unterstüzen ja kein richtiges DMZ. Das ist nur Kundenverarsche.

Frank

 

[MadJoker]

Dann stellt sich mir die Frage warum dann die Hersteller es DMZ nennen duerfen. Gibt es dafuer nicht Auflagen?
Habe ja auch nur gemeint das es fielleicht hierbei nuetzlich sein koennte.
Ich weiss das zumindest die ports freigegeben werden. So scheint es zumindest.
Mir hat es mit Azureus und meinem SIP soft phone geholfen.

 

[theton]

Ich denke, dass es bei einem Hardware-Router dieser Art am guenstigsten sein duerfte, wenn man einfach einstellt, dass er alle eingehenden Verbindungen an den Samba-Server weiterreichen soll. Damit sollte das Problem der Firewall dann eigentlich umgangen sein.

 

[DerSchatten]

Morgen!

folgendes habe ich heute/gestern probiert.
SAMBA-Server läßt sich weder durch deaktivierung der Firewall am Router noch durch DMZ erreichen.

Was mich schlussfolgern läßt das der Port 139 womöglich von meinem Internet-Provider blockiert wird???
Meine Idee zu guter letzt wäre noch gewesen den SAMBA-Rechner direkt ins Internet zu hängen (ohne Router) dann würde ich den Router selbst als fehlerquelle zumindest ausschließen.

Ein Lichtblick jedoch ist das ich den SUSE-Rechner per VNC erreichen kann. Und das geht sogar wunderbar.

Und was DMZ angeht. So dürfte die Theorie stimmen, das dadurch wirklich alles Sicherheitsmerkmale umgangen werden. Denn wenn ich diesen eintrage, werden alle portweiterleitungen und Firewall umgangen.

Übrigens: iptables -L zeigt mir folgendes:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

[theton]

VNC benutzt aber auch nur TCP und ist nicht auf dieses ganzen UDP-Kram. Wenn dein Provider dir also UDP auf bestimmten Ports sperrt, wird das nie was. Evtl. mal beim Support anfragen.

 

[DerSchatten]

Also ich habe mir gestern einen neuen Router besorgt (Linksys WRT54GL) in der Hoffnung mit der Problemlösung etwas weiter zu kommen.
Also vom Provider her sind die Ports nicht blockiert, demnach müßte dies der Router tun.
Mein jetziger hat eine menge Einstellungen die ich noch etwas durchackern muß. Vor allem mit der Firmware: "DD-WRT v23 SP1 Final" (Ist sicher einigen bekannt) Da gibt es unter anderem die Option "Samba FS Automount". Allerdings habe ich keine Ahnung wozu das dient.
Jedenfalls funktioniert das ganze weiterhin nicht.
Jetzt habe ich in Erfahrung gebracht das SAMBA mit SSH wunderbar übers Internet funktionieren soll.

Meine Frage dazu: Wie richte ich das unter SUSE 10 ein und wie greife ich dann übers Internet auf den SAMBA-Share zu? (Ist zusätzliche Software am Client erforderlich?)

Hier nochmal was ich genau machen möchte: Ich suche eine Möglichkeit ein einfaches SAMBA-Share im Internet verfügbar zu machen ohne das ich am Client irgendwelche zusätzliche Software installieren muß.

 

[theton]

Klar geht Samba ueber ssh, wenn du einen SSH-Gateway einrichtest. Anleitungen wie das geht, gibts dazu im Netz einige. Musst du aber SSH fuer installieren und dann kannst du gleich SFTP nutzen.

 

[damager]

offtopic(!):
cool, diesen thread gibts ja immer noch

 

[DerSchatten]

Na sichel. Lösung is ja noch offen
Also SSh auch nix gut. Was würdet ihr dann vorschlagen? FTP?