Архив форумов ЦИТФорума

[raVen]

подскажите, плз, по какой пpичине комманда "mount_smbfs -E koi8-r:cp866//raven@admin/c$ /mnt/smb/admin/c" может отвечать "mount_smbfs: can't get server address: syserr = Permission denied"? как узнать где ей permission denied?

пpичем интеpесно, что для компов из одной подсети pаботает, а для компов в дpугой подсети - нет. понятно, что я где-то намудpил, вот только не могу pазобpаться где

если сделать ipfw flush, и потом тогда оно тоже не pаботает, но pезультат немножко дpугой:

[/etc/firewall@bingo.ru]
raven$ sudo ipfw list
65535 allow ip from any to any
[/etc/firewall@bingo.ru]
raven$ sudo mount_smbfs -E koi8-r:cp866 //raven@admin/c$ /mnt/smb/admin/c
mount_smbfs: can't get server address: syserr = Operation timed out

но если сделать:
raven$ sudo mount_smbfs -E koi8-r:cp866 //raven@office/c$ /mnt/smb/admin/c
то все пpоходит ноpмально. office - это компьютеp в дpугой подсети. т.е. записи в hosts такие:
192.168.2.6 office
192.168.1.211 admin

сама машина с FreeBSD имеет тpи сетевухи: .1.222, .2.222 и 80.237.91.26.

сижу ломаю голову - что такое может быть?

если добавить "-I 192.168.1.193", то pаботает, но pаньше и без нее pаботало, поэтому хочу чтобы без нее было, ибо я все ip наизусть не помню

[Dmitry.Karpov http://www.]

1) Похоже, команда mount_smbfs не смогла определить IP-адрес по NetBIOS-имени. Может, дело в неправильно указанном IP-адресе WINS-сервера?

2) Если у машины более двух IP-адресов (один - всегда 127.0.0.1, второй - рабочий), то в smb.conf надо указывать interfaces, инаяе Samba биндит (цепляет) только первый попавшийся ('man smb.conf' на эту тему).

[raVen]

>>1) Похоже, команда mount_smbfs не смогла определить IP-адрес по NetBIOS-имени.
>>Может, дело в неправильно указанном IP-адресе WINS-сервера?
а нету никакого WINS сервера ни в одной сети. есть только опции в [global]:
local master = yes
os level = 64
domain master = yes
preferred master = yes

>>2) Если у машины более двух IP-адресов (один - всегда 127.0.0.1, второй - рабочий), то в smb.conf надо указывать interfaces, инаяе Samba биндит (цепляет) только первый попавшийся ('man smb.conf' на эту тему).
вот я все таки не пойму - самба тут при чем? у меня живут в памяти их две штуки - одна с
hosts allow = 192.168.1.
hosts deny = 192.168.2.
interfaces = xl1
bind interfaces only = yes

вторая с
hosts allow = 192.168.2. 127.
hosts deny = 192.168.1.
interfaces = xl2 lo0
bind interfaces only = yes

но разме mount_smbfs связан как-то с самбой? он же в поствке FreeBSD идет модулем к ядру.

причем smbclient как к //admin/c так и к $//office/c$ (admin и office в разных подсетях) работает прекрасно. не работает только mount_smbfs и перестала работать она после обновления с 4.6-STABLE до 4.7-RELEASE.

[Dmitry.Karpov http://www.]

1) Если в сетИ нет WINS-сервера, его надо сделать. Настоятельно рекомендую.

2) smbfs должна полььзоваться настройками из smb.conf, т.к. больше неоткуда взять кучу параметров для M$-сетИ (например, тот же IP-адрес WINS-сервера). Впрочем, я уж что-то засомневался, действительно ли она берет оттуда параметры - тогда ей надо указывать все эти сведения в командной строке...

А зачем держать две Самбы - не проще ли обойтись одной?

Может, надо добавить записи в lmhosts и/или в DNS?

PS: А еще я хочу напомнить, что доллар - спец.символ, который надо экранировать бэкслэшем или апострофами.

[and3008]

smbfs действительно почти все берет из smb.conf
Но бывают клинические случаи, когда некоторые параметры не берутся или берутся неверно. Тогда надо их указывать явно в командной строке.

[raVen]

>> 1) Если в сетИ нет WINS-сервера, его надо сделать.
>>Настоятельно рекомендую.
для чего? без него все прекрасно работает.

>> А зачем держать две Самбы - не проще ли обойтись одной?
может быть и проще, только скажи тогда, как сделать, чтобы эта одна самба смотрела в две разные подсети и была master browser, причем так, чтобы эти две разные подсети друг друга не видели? т.е. не просто не могли друг до друга добраться, а вообще не видели. WINS сервер решает обратную задачу, т.е. делает так, чтобы две подсети друг друга видели и могли друг к другу ходить - мне этого не надо.

>> Может, надо добавить записи в lmhosts и/или в DNS?
в dns есть записи по поводу обоих подсетей (как прямые так и обратные). также есть записи в /etc/hosts.
а про знак доллара я помню. но там другое, виновато, ибо для одной подсети же работает. раньше работало для всех...

и все таки хочу еще раз напомнить. из smb.conf параметры берет не smb_mount/smbfs, а smbclient - это же совершенно разные вещи! ну хорошо, предположим, что smbfs берет параметры из smb.conf, тогда как ее ткнуть в определенный конфиг? вот у smbclient для этого параметр есть, а у mount_smbfs - нет...

[Dmitry.Karpov http://www.]

Сам Билл Гей (тс-с-с) советует ставить WINS-сервер, ибо это лучше, чем master-browser.

Насчет того, что машины из разных сетей не должны видеть друг друга - раньше не говорилось. Сам Билл Гей (тс-с-с) советует использовать параметр ScopeID - машины высвечивают в "Сетевом окружении" только те, у кого этот ScopeID совпадает с их собственным. Причем от хака сокрытие машин не спасает...

Насчет взаимодействия smb_mount/smbfs и smb.conf я не в курсе. Вероятно, smb_mount/smbfs берет smb.conf из стандартного места, а остальным программам его можно указать принудительно...
А как насчет посмотреть исходники? Иногда очень рулеззз!!!

[raVen]

>>Сам Билл Гей (тс-с-с) советует ставить WINS-сервер,
>>ибо это лучше, чем master-browser.
согласен. это лучше, но ставить пока не буду, надо с основной проблемой разобраться.
с первым тоже согласен

>>Насчет того, что машины из разных сетей не должны
>>видеть друг друга - раньше не говорилось.
виноват - каюсь

>>Сам Билл Гей (тс-с-с) советует использовать параметр
>>ScopeID - машины высвечивают в "Сетевом окружении"
>>только те, у кого этот ScopeID совпадает с их
>>собственным.
проблема в том, что этот ScopeID придется выставлять на каждой машине. с помощью dhcp у меня это сделать не очень получилось в свое время, поэтому я пока забил на этот вариант.

>>Причем от хака сокрытие машин не спасает...
зато файрвол спасет пакетики-то через наш сервер попытаются пролететь, а он их и порежет:
${fwcmd} add deny tcp from ${cnet}:${cmask} to ${inet}:${imask} 137-139,445

>>А как насчет посмотреть исходники? Иногда очень рулеззз!!!
experience не хватает


кстати, я понял в чем проблема, но пока не понял как её решить. в той самбе, в подсети к которой не получается присоеденится без указания ip адреса выставлено:
[global]
...
hosts allow = 192.168.1.
hosts deny = 192.168.2.
interfaces = xl1
bind interfaces only = yes
...

заметь, там нету 127. и lo0. я это сам выставлял и знал на что иду, но почему раньше-то работало?
если в обоих самбах выставить interfaces = lo0, то смогут ли они обе прибиндиться к lo0? мой опыт подсказывает мне, что нет, но попробовать я сейчас не могу - сервер сильно загружен, нужно ждать выходных.

[Dmitry.Karpov http://www.]

Чтение исходников очень полезно - по себе знаю.

Действительно, против хака может спасти только FireWall, причем запрещать надо и TCP, и UDP, и в обе стОроны. IMHO.

Запрет коннекта с адреса 127.0.0.1 - нонсенс; я не понимаю причин, по которым это нужно было сделать. Наличие в обеих Самбах разрешения работы с адреса 127.0.0.1 не ознаает, что они позволят юзерам из разных сетей лезть друг к другу и даже видеть друг друга и Самбу из второй сетки.
Проблема с биндингом соединений, приходящих на lo0, действительно возможна; фокус в том, что биндить 127.0.0.1 необязательно (поле interfaces), а вот принимать соединения с этого адреса необходимо (поле hosts_allow). (В терминах FireWall: при открытии соединения 127.0.0.1 будет в поле "источник".) Опять же IMHO.

[raVen]

>>Чтение исходников очень полезно - по себе знаю.
я согласен с тобой, но на это сейчас нету времени: две работы, институт... можно я дальше не буду ныть?

>>Действительно, против хака может спасти только
>>FireWall, причем запрещать надо и TCP, и UDP, и в обе
>>стОроны. IMHO.
достаточно в одну сторону. вторая сторона не является источником опасности. ТЗ.
кстати, я пробовал запрещаить udp, но при этом что-то резко переставало работать, по-моему как раз коннекты со второй стороны к первой. если udp не запрещать, то конекты работают.

>>Проблема с биндингом соединений, приходящих на lo0,
>>действительно возможна; фокус в том, что биндить
>>127.0.0.1 необязательно (поле interfaces)
почему?

>>а вот принимать соединения с этого адреса необходимо
>>(поле hosts_allow). (В терминах FireWall: при открытии
>>соединения 127.0.0.1 будет в поле "источник".) Опять же
>>IMHO.
адресатом будет оно же?

[Dmitry.Karpov http://www.]

Как я понял, если клиентская программа открывает соединение к серверу на одном из своих IP-адресов, то источником может быть 127.0.0.1 (проверь). Кроме того, "hosts allow 127." никому помешать не может (в большинстве случаев, IMHO).

Да, еще можно прописать все машины в файле lmhosts. Думаю, две Самбы - это все-таки ненормально, т.к. ни одна нормальная программа не станет опрашивать несколько сетей... опять же, надо смотреть исходники...