Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-06-02 17:01:21

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Konfioguracja dostępu do zasobów SAMBA (hosts allow)

Czy ktoś może bawił się konfiguracją SAMBA w kontekście restrykcji dostępu do udostępnianych zasobów/katalogów?

Niby w man można wyczytać, że są dostępne te poniższe parametry:

Kod:

[global]
    ...
    name resolve order = lmhosts wins host bcast
    hostname lookups = yes
    hosts allow = 127.0.0.0/8, 192.168.1.193
    hosts deny = ALL
    ...

I to fajnie działa o ile się określa numerki IP. Ale w man jest też informacja, że można używać nazw hosta. Jeśli określi się w name resolve order = ... host ..., to powinno bez problemu akceptować nazwy typu janek-laptop.mhouse.

Problem jednak w tym, że jak podam nazwę janek-laptop.mhouse i usunę adres IP (dla tego hosta), to wtedy nie idzie się połączyć z serwerem SAMBA, coś na wzór:

Kod:

    hosts allow = 127.0.0.0/8, janek-laptop.mhouse, janek-laptop.local

W logu widać jedynie taki oto komunikat przy próbie nawiązania połączenia:

Kod:

Jun 02 16:29:23 morfikownia smbd[144290]: [2024/06/02 16:29:23.324907,  0] lib/util/access.c:372(allow_access)
Jun 02 16:29:23 morfikownia smbd[144290]:   Denied connection from 192.168.1.193 (192.168.1.193)

Wygląda tak jakby DNS w sieci nie działał poprawnie ale, gdy poślę ping po nazwie do klienta z serwera, to działa:

Kod:

$ ping janek-laptop.local
PING janek-laptop.local (192.168.1.193) 56(84) bytes of data.
64 bytes from 192.168.1.193: icmp_seq=1 ttl=64 time=1.18 ms
64 bytes from 192.168.1.193: icmp_seq=2 ttl=64 time=1.75 ms
^C
--- janek-laptop.local ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 1.184/1.467/1.750/0.283 ms

$ ping -4 janek-laptop.mhouse
PING janek-laptop.mhouse (192.168.1.193) 56(84) bytes of data.
64 bytes from 192.168.1.193: icmp_seq=1 ttl=64 time=2.01 ms
64 bytes from 192.168.1.193: icmp_seq=2 ttl=64 time=5.76 ms
^C
--- janek-laptop.mhouse ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 2.005/3.884/5.763/1.879 ms

$ ping -6 janek-laptop.mhouse
PING janek-laptop.mhouse (fda9:1892:e9f3::707) 56 data bytes
64 bytes from fda9:1892:e9f3::707: icmp_seq=1 ttl=64 time=1.21 ms
64 bytes from fda9:1892:e9f3::707: icmp_seq=2 ttl=64 time=1.41 ms
^C
--- janek-laptop.mhouse ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 1.207/1.306/1.406/0.099 ms

Co może mu dolegać?

Offline

 

#2  2024-06-02 17:16:38

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)

Ok, wygląda na to, że chyba dnsmasq/dnscrypt-proxy coś tutaj psują, bo jak bezpośrednio w /etc/resolv.conf dałem adres IP do routera, to działa bez problemu z nazwami. Wieczorem popatrzę ale jak macie jakieś sugestie na co rzucić okiem w pierwszej kolejności w konfiguracji tych wspomnianych narzędzi to piszcie śmiało. xD

Offline

 

#3  2024-06-02 19:26:39

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)

Ok, już znalazłem, brakowało w /etc/resolv.conf` parametru search;

Kod:

    nameserver 127.0.0.1
    nameserver ::1
    options edns0 trust-ad
    options timeout:2
    search mhouse

Offline

 

#4  2024-06-02 20:40:10

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)

morfik napisał(-a):

Ok, już znalazłem, brakowało w /etc/resolv.conf` parametru search;

Kod:

    nameserver 127.0.0.1
    nameserver ::1
    options edns0 trust-ad
    options timeout:2
    search mhouse

A w konfiguracji z network managerem da radę coś takiego zrobić?

Offline

 

#5  2024-06-02 21:07:46

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)

Chyba powinno podebrać przez DHCP.

Tak czy inaczej chyba coś przekombinowałem, bo po restarcie maszyny nawet z tym search mhouse dalej wyrzuca: xD

Kod:

smbd[4653]: [2024/06/02 21:05:33.028305,  0] lib/util/access.c:372(allow_access)
smbd[4653]:   Denied connection from 192.168.1.193 (192.168.1.193)

Chyba o to mu chodzi:

Frame 146: 88 bytes on wire (704 bits), 88 bytes captured (704 bits) on interface any, id 0
Linux cooked capture v1
Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1
User Datagram Protocol, Src Port: domain (53), Dst Port: 53835 (53835)
Domain Name System (response)
    Transaction ID: 0xfd44
    Flags: 0x8583 Standard query response, No such name
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 0
    Queries
        193.1.168.192.in-addr.arpa: type PTR, class IN
            Name: 193.1.168.192.in-addr.arpa
            [Name Length: 26]
            [Label Count: 6]
            Type: PTR (12) (domain name PoinTeR)
            Class: IN (0x0001)
    [Request In: 145]
    [Time: 0.000109164 seconds]

Najwyraźniej coś tutaj szwankuje reverse DNS lookup. Ciekawe co ja mam z tym zrobić... xD

Ostatnio edytowany przez morfik (2024-06-02 21:35:05)

Offline

 

#6  2024-06-02 21:41:20

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Konfioguracja dostępu do zasobów SAMBA (hosts allow)

Ha udało się. xD

Dodałem w konfiguracji dnsmasq:

Kod:

server=/1.168.192.in-addr.arpa/192.168.1.1

Czyli wszystkie zapytania o adresy 192.168.1.0/24 poleca do rutera i tam już znajdą domenę. xD

I teraz:

Kod:

$ nslookup janek-laptop
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   janek-laptop.mhouse
Address: 192.168.1.193
Name:   janek-laptop.mhouse
Address: fda9:1892:e9f3::707


$ nslookup 192.168.1.193
193.1.168.192.in-addr.arpa      name = janek-laptop.mhouse.

Authoritative answers can be found from:

I widzę, że ping też w odpowiedzi zaczął zwracać nazwę zamiast samego adresu IP:

Kod:

$ ping -4 janek-laptop -c 4
PING janek-laptop (192.168.1.193) 56(84) bytes of data.
64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=1 ttl=64 time=2.01 ms
64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=2 ttl=64 time=1.35 ms
64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=3 ttl=64 time=3.15 ms
64 bytes from janek-laptop.mhouse (192.168.1.193): icmp_seq=4 ttl=64 time=4.88 ms

--- janek-laptop ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3019ms
rtt min/avg/max/mdev = 1.354/2.848/4.880/1.337 ms

Dobrze wiedzieć, że przez tyle lat miałem niedorobiony serwer DNS. xD

Ostatnio edytowany przez morfik (2024-06-02 21:53:22)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)