このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/16 22:16
名前: アサピーファン
URL:
 CentOS5(現在5.6)にてSambaを構築しました。
 構築出来たのは良かったのですが…logwatchなどにSambaのエラーが出続けています。
 
 回避するにはどうしたら良いのでしょうか?
 色々、対策を探してみては解決出来ませんでした。

 どうかよろしくお願い致します。
 エラーは以下です。

 2種類のエラーが延々に表示されます。

  lib/access.c:check_access(327) 95.28.225.250 : 1 Time(s)
lib/access.c:check_access(327) 95.30.165.11 : 1 Time(s)
lib/access.c:check_access(327) 95.69.125.211 : 1 Time(s)
lib/access.c:check_access(327) 95.84.250.57 : 1 Time(s)
lib/access.c:check_access(327) 95.84.3.6 : 1 Time(s)
lib/access.c:check_access(327) 98.141.32.99 : 1 Time(s)
lib/access.c:check_access(327) 98.68.197.69 : 1 Time(s)
lib/access.c:check_access(327) 99.18.61.90 : 1 Time(s)
smbd/process.c:process_smb(1076) 108.26.86.219 : 1 Time(s)
smbd/process.c:process_smb(1076) 109.121.157.30 : 1 Time(s)
smbd/process.c:process_smb(1076) 109.175.55.68 : 1 Time(s)
smbd/process.c:process_smb(1076) 109.184.210.237 : 1 Time(s)
smbd/process.c:process_smb(1076) 109.184.7.163 : 1 Time(s)

  
記事編集 編集

Page: | 1 | 2 |

Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/21 17:39
名前: ペングイン
URL: http://blog.trippyboy.com
アサピーファンさん

ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:netbios-ssn

この設定でsambaまで通信が届いてしまいますよね。
もし、ローカル環境からしかアクセスが出来ないようにsambaを設定されているなら
この設定はもったいないですよね。

sambaにとどくまえに、iptablesで外部からsambaへの通信を遮断すれば
ご提示のエラーは激減すると思います。

追記:

既にstrangerさん仰せの内容の繰り返しとなってしまいました。


>iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! 192.168.0.0/24 -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! 192.168.0.0/24 -p udp -m multiport --sports 135,137,138,139,445 -j DROP

記事編集 編集
Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/21 17:58
名前: stranger
URL: http://ja.528p.com/
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain RH-Firewall-1-INPUT (2 references)

のチェーンに組み込まれている設定だから
INPUTが許可されているだけです

OUTPUTを止めておけば、接続は確立しないと思うけど?

INPUTチェーンも192.168.0.0/24のみに限定すればベターだと思うけど?
/etc/sysconfig/iptablesのsamba関連のINPUTのところに
-s 192.168.0.0/24 を加えてあげれば良いと思う

徹底的にやるならGUIを使わずに、スクリプトなどで設定しないとダメ
GUIのsystem-config-networkには限界があります

新高校生さんやペングインのようにスキルがあればどのようにもなります
記事編集 編集
Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/22 15:41
名前: アサピーファン
URL:
 strangerさん、ペングインさん、新高校さんありがとうございます。
 
 stringerさんに、ご教授頂いた方法を試しており、もう少しお待ち頂けますでしょうか。
 
記事編集 編集
Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/22 17:35
名前: stranger
URL: http://ja.528p.com/
管理者権限で端末から

iptables -L OUTPUT -n --line-numbers
iptables -L INPUT -n --line-numbers
iptables -L RH-Firewall-1-INPUT -n --line-numbers

で番号を表示してチェーンの順番を確認してください

記事編集 編集
Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/23 10:34
名前: アサピーファン
URL:
>管理者権限で端末から
>
>iptables -L OUTPUT -n --line-numbers
>iptables -L INPUT -n --line-numbers
>iptables -L RH-Firewall-1-INPUT -n --line-numbers
>
>で番号を表示してチェーンの順番を確認してください
>
>

 strangerさん、ありがとう御座います。
 
 どうもまだ当初のエラーが出続けており、何か設定に間違いがあるのか?それとも何かが原因で解決できないみたいです。
 ご教授頂いた3つのコマンド実行結果は以下です。


# iptables -L OUTPUT -n --line-numbers
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 !192.168.0.0/24 multiport sports 135,137,138,139,445
2 DROP udp -- 0.0.0.0/0 !192.168.0.0/24 multiport sports 135,137,138,139,445

 
# iptables -L INPUT -n --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

 # iptables -L RH-Firewall-1-INPUT -n --line-numbers
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
10 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
11 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137
12 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138
13 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139
14 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445
15 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
16 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
17 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
18 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
19 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
21 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:901
23 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
 
  
記事編集 編集
Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/23 14:39
名前: stranger
URL: http://ja.528p.com/
「sambaをwebで設定するswat(port 901)も開いていたのですね」

ルータを使っているだろうから
sambaへのINPUTアクセスは、ルータで外部と遮断しているだろうと思い
出ていくものは拒まずの設定が多いので
OUTPUTのみ制御すれば、良いのではと思ったしだいです

外部にはどのように接続されていますか
ルータですか
ルータの場合
ルータでなにも制御していないなら
ペングインさん、新高校さんのアドバイスの用に

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:901

を絞りこまないとだめかも
記事編集 編集
Re: Sambaのエラーが出続けています このメッセージに返信する
日時: 2011/05/24 09:09
名前: アサピーファン
URL:
strangerさん

ありがとうございました。
本日解決しました。

はい。ルータを利用しており、標準的なポート以外はすべて制限しています。
ですので、一応外部へ出る事はありませんが、logwatch に毎日、大量のsambaのlogが記録されており、困っていましたがようやく、解決出来ました。

strangerさん及びぺんぐいんさん、新高校生さん、ありがとうございました。



>「sambaをwebで設定するswat(port 901)も開いていたのですね」
>
>ルータを使っているだろうから
>sambaへのINPUTアクセスは、ルータで外部と遮断しているだろうと思い
>出ていくものは拒まずの設定が多いので
>OUTPUTのみ制御すれば、良いのではと思ったしだいです
>
>外部にはどのように接続されていますか
>ルータですか
>ルータの場合
>ルータでなにも制御していないなら
>ペングインさん、新高校さんのアドバイスの用に
>
>ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137
>ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138
>ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139
>ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445
>ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:901
>
>を絞りこまないとだめかも
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -