Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-04-25 18:53:42

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Samba i dostęp zależny od ip

Witam

Mam serwer samby na debianie Jessie. Udostępnia on kilka katalogów. Dostęp do katalogów ma być bez haseł jedynie na podstawie adresu ip komputera który się łączy. Na podstawie opisów znalezionych w google dostęp ustawiłem przez opcje "hosts allow" i "hosts deny". W przypadku większości komputerów działa jak powinno i tu właśnie pojawia się problem. Jest kilka komputerów które otwierają katalogi których nie powinny. Na komputerach są windowsy w wersjach 7, 8, 8.1, 10. Nie znalazłem żadnej prawidłowości że problem występuje tylko na jednej wersji systemu itp. Bardzo proszę o pomoc, gdyż próbuję to rozgryźć od dłuższego czasu i nadal nie wiem w czym problem.

Pozdrawiam

Offline

 

#2  2017-04-25 19:33:35

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

Może te komputery mają inne adresy niż Ci się zdaje, jak DHCP przydziela adresy to mogą się zmieniać.
Możesz też na firewallu wyciąć ruch do Samby dla konkretnych IP.

Offline

 

#3  2017-04-25 19:46:42

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

Adresy są pobierane z dhcp i mam statyczne wpisy i komputery pobierają odpowiednie adresy. Na firewallu mogę wyciąć cały ruch do samby z danego ip, a konkretny komputer ma mieć dostęp do kilku katalogów do reszty nie, kolejny ma mieć dostęp do innych katalogów a do reszty nie itd.

Offline

 

#4  2017-04-25 21:36:41

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

To pokaż smb.conf.

Offline

 

#5  2017-04-25 21:46:41

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

Kod:

[global]
printing = bsd
printcap name = /dev/null
## Browsing/Identification ###

   workgroup = GRUPA
    server string = SMB
    netbios name = SMB
   wins support = yes
   local master = yes
   preferred master = yes
    domain master = yes
   dns proxy = no

#### Networking ####

   interfaces = 127.0.0.0/8 eth0 eth1 eth2
   bind interfaces only = yes

#### Debugging/Accounting ####

   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d

####### Authentication #######

   server role = standalone server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes

#======================= Share Definitions =======================


[Magazyn]
    path = /smb/share/magazyn
    comment = Magazyn
    writable = yes
    public = yes
#    hosts allow = 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221
    hosts deny = 192.168.23. 192.168.22. 192.168.21. EXCEPT 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221

[Wymiana]
    path = /smb/share/wymiana
    comment = Wymiana
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[Biuro]
    path = /smb/share/biuro
    comment = biuro
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[Sala konferencyjna]
    path = /smb/share/sala
    comment = Sala konferencyjna
    public = yes
    guest ok = yes
    writable = yes
    hosts allow = 192.168.21. 192.168.22. 192.168.23.

[Zarzadzanie i ksiegowosc]
    path = /smb/share/zarzadzanie
    comment = Magazyn
    browsable = yes
    public = yes
    writable = yes
    hosts allow = 192.168.22.
    hosts deny = 192.168.23. 192.168.21.

[FTP ukryte]
    path = /smb/share/ftpukryte
    comment = ftp bez listowania
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[FTP jawne]
    path = /smb/share/ftpjawne
    comment = ftp z listowaniem
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[SkanowanieBiuro]
    path = /smb/share/skanbiuro
    comment = skonowanie dla biura
    public = yes
    writable = yes
    hosts allow = 192.168.22.0/24
    hosts deny = 192.168.21.0/24 192.168.23.0/24 EXCEPT 192.168.21.252

[Skanowanie]
    path = /smb/share/skanprac
    comment = skanowanie dla pracowni
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

Offline

 

#6  2017-04-25 22:00:04

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

Próbowałeś zamiast host deny użyć host allow z wykluczeniem EXCEPT?
Przykładowo w [Magazyn] użyć:
hosts allow = 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221 EXCEPT 192.168.23. 192.168.22. 192.168.21.
No i pytanie do jakich zasobów występują nieuprawnione dostępy?

Ostatnio edytowany przez arecki (2017-04-25 22:01:35)

Offline

 

#7  2017-04-25 22:39:49

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

Głównie chodzi o magazyn i o zarządzanie i księgowość. Komputer który ma mieć dostęp do magazynu wchodzi też w inne katalogi, zarezerwowane dla podsieci 22.
Czy ten zapis sam się nie wyklucza? Zezwolić adresom, ale zabronić całej podsieci w której się one zawierają?

Ostatnio edytowany przez hagridt (2017-04-25 22:40:53)

Offline

 

#8  2017-04-26 08:36:03

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

A no tak nie zauważyłem tego wykluczenia na sieć 21.
Z tego co widzę sieć 21 ma zablokowany dostęp tylko do [Zarzadzanie i ksiegowosc] [SkanowanieBiuro]
Spróbuj używać tylko host allow, bo to powinno być wystarczające, czyli kolejno dla zasobów:
hosts allow = 192.168.22.
#hosts deny = 192.168.23. 192.168.21.
oraz
hosts allow = 192.168.22.0/24 192.168.21.252/32
#hosts deny = 192.168.21.0/24 192.168.23.0/24 EXCEPT 192.168.21.252

Offline

 

#9  2017-04-26 10:35:52

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

Ok, popołudniu to zmienię. Obecnie nie mogę gdyż pracują na plikach a restart usługi zerwałby połączenia.
Dostęp do [Zarzadzanie i ksiegowosc] [SkanowanieBiuro] ma być całkowicie zablokowany z podsieci 21, ale do [Magazyn] ma mieć dostęp tylko kilka komputerów i nikt inny.
Właśnie kolega dał mi znać że wchodzi do wszystkich katalogów. A jeszcze wczoraj miał zablokowany dostęp do części. Nic nie zmieniałem w międzyczasie.

Offline

 

#10  2017-04-26 12:35:04

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

A co tam w logach?

Offline

 

#11  2017-04-26 12:59:38

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

No właśnie zaczęło mi się pojawiać coś dziwnego w logach:

Kod:

[2017/04/26 06:53:53.445720,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.445866,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.469560,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.469790,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.470021,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471291,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.471445,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471606,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory

i z innego pliku

Kod:

 process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. Permission denied
[2017/04/26 06:52:38.220359,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:52:38.220504,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:52:38.221080,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:52:38.221242,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:52:38.221383,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.443935,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.444167,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.444323,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.444736,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. Permission denied
[2017/04/26 06:53:53.444885,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:53:53.445029,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:53:53.445577,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.445720,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.445866,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.469560,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.469790,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.470021,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471291,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.471445,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471606,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory

Offline

 

#12  2017-04-26 13:19:50

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

Kolego uzupełnij z jakich plików te logi.

Offline

 

#13  2017-04-26 19:45:05

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

sorki. logi tworzą mi się jako osobny plik dla każdego ip jakie połączy się do udostępnionych zasobów. Każdy z wklejonych fragmentów jest z innego pliku czyli dla innego komputera.

Offline

 

#14  2017-04-26 21:02:41

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Samba i dostęp zależny od ip

Można jeszcze spróbować w sekcji global ustawić deny na wszystkich a potem w zasobach używać allow do uprawnionych (takie podejście jak w budowaniu firewalla).

Offline

 

#15  2017-04-26 23:40:12

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: Samba i dostęp zależny od ip

Z tego co jest napisane w dokumentacji można wywnioskować że zasada jest jedna - za to bardzo prosta.
hosts allow ma określić jakim hostom udzielasz dostępu
hosts deny - zabroń pozostałym ;-)

Więc wg mnie (no i dokumentacji) wpis powinien wyglądać tak:

Kod:

[nazwa_udziału]
....
hosts allow = 192.168.21.0/24 192.168.22.0/24
hosts deny = 0.0.0.0/0

No i teoretycznie powinno wystaczyć samo allow lub deny ;-)

Więcej [url=https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html]tu[/url]

Ostatnio edytowany przez pasqdnik (2017-04-26 23:50:07)


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#16  2017-04-27 09:36:46

  hagridt - Użytkownik

hagridt
Użytkownik
Zarejestrowany: 2017-04-25

Re: Samba i dostęp zależny od ip

wczoraj przerobiłem by było tylko "hosts allow" tak jak sugerował kolega arecki. W wyniku tego z samego rana odebrałem telefon że nie można wejść w żaden katalog z żadnego komputera. Szybko przywróciłem poprzedni plik konfiguracyjny, kolega potwierdził że ma dostęp do katalogów na których wcześniej pracował ale nie może wejść w [sala konferencyjna] do którego jeszcze wczoraj miał dostęp i wogóle wszyscy powinni mieć dostęp.


użyłem równocześnie hosts allow i deny, ponieważ tak było we wszystkich przykładach jakie znalazłem.
Testparm pokazuje że wszystko jest ok, jak mu podaje nazwę hosta i ip to prawidłowo pokazuje do czego jest dostęp a do czego niema.


Ciekawa sprawa gdy się łączę vpn'em do sieci to prawidłowo daje dostęp i blokuje odpowiednie katalogi.

Ostatnio edytowany przez hagridt (2017-04-27 11:06:43)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.012 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00068 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.103.185' WHERE u.id=1
0.00244 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.103.185', 1732221507)
0.00147 SELECT * FROM punbb_online WHERE logged<1732221207
0.00034 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29529 AND t.moved_to IS NULL
0.00063 SELECT search_for, replace_with FROM punbb_censoring
0.00255 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29529 ORDER BY p.id LIMIT 0,25
0.00082 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29529
Total query time: 0.00907 s