Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Konfioguracja dostępu do zasobów SAMBA (hosts allow)
#1 2024-06-02 17:01:21
morfik - 
Cenzor wirtualnego świata
Konfioguracja dostępu do zasobów SAMBA (hosts allow)
Czy ktoś może bawił się konfiguracją SAMBA w kontekście restrykcji dostępu do udostępnianych zasobów/katalogów?
Niby w man można wyczytać, że są dostępne te poniższe parametry:
Kod:
[global]
...
name resolve order = lmhosts wins host bcast
hostname lookups = yes
hosts allow = 127.0.0.0/8, 192.168.1.193
hosts deny = ALL
...I to fajnie działa o ile się określa numerki IP. Ale w man jest też informacja, że można używać nazw hosta. Jeśli określi się w name resolve order = ... host ..., to powinno bez problemu akceptować nazwy typu janek-laptop.mhouse.
Problem jednak w tym, że jak podam nazwę janek-laptop.mhouse i usunę adres IP (dla tego hosta), to wtedy nie idzie się połączyć z serwerem SAMBA, coś na wzór:
Kod:
hosts allow = 127.0.0.0/8, janek-laptop.mhouse, janek-laptop.local
W logu widać jedynie taki oto komunikat przy próbie nawiązania połączenia:
Kod:
Jun 02 16:29:23 morfikownia smbd[144290]: [2024/06/02 16:29:23.324907, 0] lib/util/access.c:372(allow_access) Jun 02 16:29:23 morfikownia smbd[144290]: Denied connection from 192.168.1.193 (192.168.1.193)
Wygląda tak jakby DNS w sieci nie działał poprawnie ale, gdy poślę ping po nazwie do klienta z serwera, to działa:
Kod:
$ ping janek-laptop.local PING janek-laptop.local (192.168.1.193) 56(84) bytes of data. 64 bytes from 192.168.1.193: icmp_seq=1 ttl=64 time=1.18 ms 64 bytes from 192.168.1.193: icmp_seq=2 ttl=64 time=1.75 ms ^C --- janek-laptop.local ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 1.184/1.467/1.750/0.283 ms $ ping -4 janek-laptop.mhouse PING janek-laptop.mhouse (192.168.1.193) 56(84) bytes of data. 64 bytes from 192.168.1.193: icmp_seq=1 ttl=64 time=2.01 ms 64 bytes from 192.168.1.193: icmp_seq=2 ttl=64 time=5.76 ms ^C --- janek-laptop.mhouse ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 2.005/3.884/5.763/1.879 ms $ ping -6 janek-laptop.mhouse PING janek-laptop.mhouse (fda9:1892:e9f3::707) 56 data bytes 64 bytes from fda9:1892:e9f3::707: icmp_seq=1 ttl=64 time=1.21 ms 64 bytes from fda9:1892:e9f3::707: icmp_seq=2 ttl=64 time=1.41 ms ^C --- janek-laptop.mhouse ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 1.207/1.306/1.406/0.099 ms
Co może mu dolegać?
Offline
#2 2024-06-02 17:16:38
morfik - Cenzor wirtualnego świata
Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)
Ok, wygląda na to, że chyba dnsmasq/dnscrypt-proxy coś tutaj psują, bo jak bezpośrednio w /etc/resolv.conf dałem adres IP do routera, to działa bez problemu z nazwami. Wieczorem popatrzę ale jak macie jakieś sugestie na co rzucić okiem w pierwszej kolejności w konfiguracji tych wspomnianych narzędzi to piszcie śmiało. xD
Offline
#3 2024-06-02 19:26:39
morfik - Cenzor wirtualnego świata
Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)
Ok, już znalazłem, brakowało w /etc/resolv.conf` parametru search;
Kod:
nameserver 127.0.0.1
nameserver ::1
options edns0 trust-ad
options timeout:2
search mhouseOffline
#4 2024-06-02 20:40:10
Pavlo950 - człowiek pasjonat :D
Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)
morfik napisał(-a):
Ok, już znalazłem, brakowało w /etc/resolv.conf` parametru search;
Kod:
nameserver 127.0.0.1 nameserver ::1 options edns0 trust-ad options timeout:2 search mhouse
A w konfiguracji z network managerem da radę coś takiego zrobić?
Offline
#5 2024-06-02 21:07:46
morfik - Cenzor wirtualnego świata
Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)
Chyba powinno podebrać przez DHCP.
Tak czy inaczej chyba coś przekombinowałem, bo po restarcie maszyny nawet z tym search mhouse dalej wyrzuca: xD
Kod:
smbd[4653]: [2024/06/02 21:05:33.028305, 0] lib/util/access.c:372(allow_access) smbd[4653]: Denied connection from 192.168.1.193 (192.168.1.193)
Chyba o to mu chodzi:
Frame 146: 88 bytes on wire (704 bits), 88 bytes captured (704 bits) on interface any, id 0
Linux cooked capture v1
Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1
User Datagram Protocol, Src Port: domain (53), Dst Port: 53835 (53835)
Domain Name System (response)
Transaction ID: 0xfd44
Flags: 0x8583 Standard query response, No such name
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 0
Queries
193.1.168.192.in-addr.arpa: type PTR, class IN
Name: 193.1.168.192.in-addr.arpa
[Name Length: 26]
[Label Count: 6]
Type: PTR (12) (domain name PoinTeR)
Class: IN (0x0001)
[Request In: 145]
[Time: 0.000109164 seconds]
Najwyraźniej coś tutaj szwankuje reverse DNS lookup. Ciekawe co ja mam z tym zrobić... xD
Ostatnio edytowany przez morfik (2024-06-02 21:35:05)
Offline
#6 2024-06-02 21:41:20
morfik - Cenzor wirtualnego świata
Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)
Ha udało się. xD
Dodałem w konfiguracji dnsmasq:
Kod:
server=/1.168.192.in-addr.arpa/192.168.1.1
Czyli wszystkie zapytania o adresy 192.168.1.0/24 poleca do rutera i tam już znajdą domenę. xD
I teraz:
Kod:
$ nslookup janek-laptop Server: 127.0.0.1 Address: 127.0.0.1#53 Name: janek-laptop.mhouse Address: 192.168.1.193 Name: janek-laptop.mhouse Address: fda9:1892:e9f3::707 $ nslookup 192.168.1.193 193.1.168.192.in-addr.arpa name = janek-laptop.mhouse. Authoritative answers can be found from:
I widzę, że ping też w odpowiedzi zaczął zwracać nazwę zamiast samego adresu IP:
Kod:
$ ping -4 janek-laptop -c 4 PING janek-laptop (192.168.1.193) 56(84) bytes of data. 64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=1 ttl=64 time=2.01 ms 64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=2 ttl=64 time=1.35 ms 64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=3 ttl=64 time=3.15 ms 64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=4 ttl=64 time=4.88 ms --- janek-laptop ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3019ms rtt min/avg/max/mdev = 1.354/2.848/4.880/1.337 ms
Dobrze wiedzieć, że przez tyle lat miałem niedorobiony serwer DNS. xD
Ostatnio edytowany przez morfik (2024-06-02 21:53:22)
Offline
#7 2024-06-17 00:59:24
Pavlo950 - człowiek pasjonat :D
Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)
morfik napisał(-a):
I to fajnie działa o ile się określa numerki IP. Ale w man jest też informacja, że można używać nazw hosta. Jeśli określi się w name resolve order = ... host ..., to powinno bez problemu akceptować nazwy typu janek-laptop.mhouse.
morfik napisał(-a):
Chyba powinno podebrać przez DHCP.
Z ciekawości sprawdziłem, bo z tego co pamiętam, przez dhcp nazwy hosta nie działały (np ftp do hosta media zamiast numeru). W network managerze w pierwszej kolejności jako DNS wystarczyło podać adres routera XD
Offline
#8 2024-06-17 07:36:59
morfik - Cenzor wirtualnego świata
#9 2024-06-17 11:34:15
Pavlo950 - człowiek pasjonat :D
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Konfioguracja dostępu do zasobów SAMBA (hosts allow)