SAMBA en DMZ

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

SAMBA en DMZ

Messagepar Vinzstyle » 14 Avr 2004 22:56

Voilà, je viens d'installer Samba sur un PC en DMZ. Le problème c'est que je ne le voit pas dans mon voisinage réseau sous Windows XP Pro (par contre, je peux y accéder en tapant \\samba\home).

J'ai ouvert les ports 135/tcp, 135/udp, 137/tcp, 137/udp, 139/tcp, 139/udp, 445/tcp de ORANGE vers GREEN

Voici mon smb.conf (juste la partie Global):

Code: Tout sélectionner
# Global parameters
[global]
   workgroup = DOMAIN
                netbios name = NBNAME
   server string = Serveur Samba
   passwd program = /usr/bin/passwd
   passwd chat = *New* %n\n *Re* %n\n *pa*
   passwd chat debug = Yes
   unix password sync = Yes
   log file = /var/log/samba/log.%m
   max log size = 50
   announce version = 5.2
   name resolve order = wins host lmhosts bcast
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   logon script = %U.bat
   logon path = \\%L\profile\%U
   logon drive = Z:
   logon home = \\%L\%U
   domain logons = Yes
   os level = 255
   preferred master = Yes
   domain master = Yes
   dns proxy = No
   wins support = Yes
   remote announce = 192.168.0.2
   remote browse sync = 192.168.0.2
   winbind use default domain = Yes
   admin users = @admin
   hosts allow = 192.168.0., 192.168.1, 127.



Je n'arrive pas non plus à joindre le domaine. Je ne sais pas si c'est une erreur qui m'a échappée dans le fichier de conf ou si c'est IPCop qui m'empeche d'acceder au serveur Samba.

Voici le message d'erreur que m'affiche Windows :
Le nom de domaine DOMAIN est peut-être un nom de domaine NetBIOS. Si cela est le cas, vérifiez que ce nom de domaine est correctement enregistré auprès de WINS.

Si vous êtes sûr que ce nom n'est pas un nom de domaine NetBIOS, les informations suivantes peuvent vous aider à diagnostiquer votre configuration DNS :

L'erreur suivante s'est produite lors de la demande au DNS de l'enregistrement de ressource SRV (Service Location) permettant de localiser un contrôleur de domaine pour le domaine DOMAIN :

L'erreur était : "Le nom DNS n'existe pas."
(code d'erreur 0x0000232B RCODE_NAME_ERROR)

L'interrogation portait sur l'enregistrement SRV pour _ldap._tcp.dc._msdcs.DOMAIN

Les causes de cette erreur peuvent être :

- L'enregistrement SRV de DNS n'est pas inscrit dans le DNS.

- Une ou plusieurs des zones suivantes n'incluent pas la délégation à leur zone fille :

DOMAIN
. (zone racine)


Merci de votre aide.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar Vinzstyle » 15 Avr 2004 14:00

Ca devient de pire en pire, maintenant je ne peux me connecter au serveur Samba qu'en utilisant son adresse IP.

Si dans Windows je fais "Rechercher un ordinateur" et que je rentre son alias ou son nom netbios, ça ne passe pas. Il n'y a plus que l'IP qui marche.
De plus, il ne m'indique même plus dans quel domaine se trouve la DMZ, et le "server string" n'apparait plus.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar mich2704 » 16 Avr 2004 14:33

tu t'en es sorti avec ton pb de samba dans le voisiage réseau ???

j'ai le meme probleme que toi :

voici ma config :

green 192.168.0.105
orange 10.0.0.1
red : adsl

sur ma dmz, j'ai un serveur samba (10.0.0.2) que j'arrive à joindre depuis ma zone verte (en IP et en nom netbios)

ce que je veux faire, c depuis un poste de la zone green accéder à mon partage mais en faisant une requette sur mon ipcop ( par exemple : \\192.168.0.105) et j'aimerai arrivé sur mon serveur samba

cela implique une redirection de port :

voila ce que j'ai fait :

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 137 -j DNAT --t-destination 10.0.0.2:137

et cela pour les ports 137 à 139 en tcp et en udp


mais ça ne marche tjs pas ... j'ai du oublié quelque chose ??? un autre port à mapper ???
Avatar de l’utilisateur
mich2704
Second Maître
Second Maître
 
Messages: 35
Inscrit le: 29 Août 2002 00:00
Localisation: Lyon

Messagepar Vinzstyle » 22 Avr 2004 22:35

Bon, pour faire apparaitre mon serveur Samba qui se trouve en DMZ, j'ai utilisé la méthode du serveur WINS.

Pourquoi ? Parce que comme ça je n'ai pas besoin d'ouvrir d'accès de la DMZ vers le GREEN.

Donc pour que tout marche il faut que dans la section [global] du smb.conf vous activiez le support wins (wins support = yes).
Ensuite, côté client, il faut renseigner le champ "serveur WINS" en mettant l'adresse IP du serveur Samba; ou alors, configurez votre serveur DHCP pour qu'il "diffuse" l'adresse du serveur WINS.

Voilà.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar mich2704 » 23 Avr 2004 13:54

tu es sur que ça fonctionne ??

car le serveur qui est sur ta DMZ ne fait pas parti de ton reseau local, ce qui empeche le serveur wins de le connaitre ...

dans notre cas, on a bien un serveur samba sur notre dmz et un serveur wins sur le réseau local ...

alors comment le serveur sambva fait pour se faire connaitre au serveur wins ??? car pas de connexion de orange vers green ...

il faudrait pour se faire, pouvoir inscrire dans le serveur wins, (qui se trouve sur le réseau local), notre serveur qui se trouve dans la DMZ ... c'est possible ça ???
Avatar de l’utilisateur
mich2704
Second Maître
Second Maître
 
Messages: 35
Inscrit le: 29 Août 2002 00:00
Localisation: Lyon

Messagepar guiguid » 23 Avr 2004 15:21

Attention : le protocole NETBIOS n'est pas routable !!!!
c-a-d : fonctionne uniquement sur un meme sous réseau :
lan green 192.168.0.0/24
dmz : 192.168.1.0/24
--> ca me marche pas ! (si non tout internet .....)
Pour que sa fonctionne il vous faut 2 serveur WINS, un en DMZ (samba le fait) et un en local (samba le fait aussi) et dire à chaqu'un des deux que l'autre existe. Puis dire au postes d'utiliser le serveur wins de son sous réseau.)

Voila.
Avatar de l’utilisateur
guiguid
Vice-Amiral
Vice-Amiral
 
Messages: 636
Inscrit le: 10 Avr 2003 00:00
Localisation: 66

Messagepar windandsnow » 23 Avr 2004 15:27

Salut,

Pourquoi un serveur smb en DMZ, en green pas de probleme??
Linuxien par passion, windozien par obligation.
La reconnaissance de sa propre ignorance est le premier pas vers la connaissance.
Avatar de l’utilisateur
windandsnow
Aspirant
Aspirant
 
Messages: 107
Inscrit le: 08 Fév 2004 01:00
Localisation: Hautes Alpes

Messagepar mich2704 » 23 Avr 2004 15:42

obligé ... c'est un serveur appliance, c'est à dire qu'il me fait aussi serveur de messagerie et ftp ...

tout est centralisé sur ce serveur ... c comme ça ...
Avatar de l’utilisateur
mich2704
Second Maître
Second Maître
 
Messages: 35
Inscrit le: 29 Août 2002 00:00
Localisation: Lyon

Messagepar Vinzstyle » 23 Avr 2004 18:16

Comme la résolution des noms NetBIOS se fait par broadcast (et donc ne sort pas du réseau), si ton serveur Samba fait office de serveur WINS et que tu as renseigner correctement tes clients en zone VERTE (en leur fournissant l'@ IP du serveur WINS), alors ils l'intérogeront (connexion TCP normale).

Du coup, comme la connexion va de la zone VERTE vers la ORANGE elle est acceptée par défaut par IPCop.

Alors qu'en se servant des lmhosts ça oblige à ouvrir des dmz pinholes (donc perte en sécurité).

Je pense que cette méthode est la meilleur, maintenant, j'ai pas approfondi le sujet plus que ça. Que quelqu'un me corrige si j'ai fait une erreur :)

En tout cas ça marche, ça c'est sûr :)

Vinz.

P.S.: J'ai un petit problème avec nmdb, il est sencé être lancé par xinetd... mais il ne démarre que si je le lance manuellement. Pourtant les autres services démarrent correctement.
Merci.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar windandsnow » 23 Avr 2004 19:05

Resalut,

J'ai essayé de placer samba sur la DMZ, j'arrive à acceder à samba par son adresse IP et par son nom en indiquant la correspondance dans le fichier lmhost, Vinzstyle a raison ca marche, par contre pas moyen de l'avoir dans le voisinage reseau autrement qu'en forcant la recherche.
Linuxien par passion, windozien par obligation.
La reconnaissance de sa propre ignorance est le premier pas vers la connaissance.
Avatar de l’utilisateur
windandsnow
Aspirant
Aspirant
 
Messages: 107
Inscrit le: 08 Fév 2004 01:00
Localisation: Hautes Alpes

Messagepar Vinzstyle » 24 Avr 2004 17:12

Pour l'avoir dans ton voisinage réseau, il faut que le service nmdb soit actif. De plus avec la méthode du serveur WINS, tu n'as pas à te préoccuper des lmhosts.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar lucyfire » 04 Juin 2004 18:18

je déterre le post pour dire que Vinz a raison pour le serv Wins c'est la meilleur méthode, avec distrib par dhcp c'est parfait

lcf
"Les hommes déprécient ce qu'ils ne peuvent comprendre." [Goethe]
Avatar de l’utilisateur
lucyfire
Amiral
Amiral
 
Messages: 1109
Inscrit le: 15 Mai 2003 00:00
Localisation: Lyon


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité