PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mounten von NFS über Firewall



vladonline
14.07.05, 04:01
Ich habe jetzt halbe nacht durchgesessen aber keine lösung gefunden.
Ich möchte eine NFS partition mounten.
Lokal funktioniert es aber aus dem internet bekomme ich es einfach nicht gebacken.

meldung:
mount: RPC: Unable to receive; errno = Connection refused

in messages steht nichts!

hosts.allow ist leer
hosts.deny ist auch leer

die Firewall sieht so aus:

iptables -F
iptables -F -t nat
iptables -X


iptables -A INPUT -i ppp0 -p udp -j REJECT
iptables -A INPUT -i ppp0 -p tcp ! --syn -j ACCEPT

iptables -A INPUT -i ppp0 -p udp --dport 111 -j ACCEPT #NFS
iptables -A INPUT -i ppp0 -p tcp --dport 111 -j ACCEPT #NFS
iptables -A INPUT -i ppp0 -p udp --dport 2049 -j ACCEPT #NFS
iptables -A INPUT -i ppp0 -p tcp --dport 2049 -j ACCEPT #NFS

Es ist eine alte SUSE 8.0

Hat jemand eine Idei befor ich mich aus dem Fenster schmeisse?

chrisi1698
14.07.05, 06:51
idee: NFS ueber ssh tunneln. wies genau geht weiss ich leider selbst nicht (habs noch nie gemacht, aber gelesen, dass es geht, weils mich mal interessiert hat
http://www.math.ualberta.ca/imaging/snfs/
hope it helps,
lg, chris

Fly
14.07.05, 07:52
Versuch mal folgendes in der Output-Chain:



iptables -A OUTPUT -i ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT

Damit lässt du alle Antwort-Pakete ab Port 1024 nur auf der TCP Ebene rein...
Keine Ahnung, ob NFS über Firewall funktioniert, ist jedenfalls unsicher...

vladonline
14.07.05, 11:48
grafin:/etc/init.d # iptables -A OUTPUT -i ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT
iptables v1.2.5: Can't use -i with OUTPUT
Try `iptables -h' or 'iptables --help' for more information.
Da ist was verkehrt.

Tomek
14.07.05, 11:56
Ersetze:

iptables -A OUTPUT -i ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT
mit:

iptables -A OUTPUT -o ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT

Jesaja
14.07.05, 11:58
Was soll den --state new,established,related bringen?

Tomek
14.07.05, 11:59
Was soll den --state new,established,related bringen?
Es gibt noch weitere "Zustände" bei TCP/IP-Paketen, wie z.B. invalid.

vladonline
14.07.05, 12:24
Danke aber es kommt immer noch zur Fehlermeldung:

mount: RPC: Kann nicht empfangen; errno = Verbindungsaufbau abgelehnt

Tomek
14.07.05, 12:38
Schau bitte mal hier: http://gentoo-wiki.com/HOWTO_Share_Directories_via_NFS#Setting_Up_Firewal l_.28Server_Side.29

klemens
17.07.05, 00:50
Wenn Du iptables -A verwendest, werden die Regeln hinten drangehängt. Also Deine erste Regel lautet:

iptables -A INPUT -i ppp0 -p udp -j REJECT

Und die wird wohl greifen.

BSM
20.07.05, 15:18
Nur so als Ansatz, ich würde vielleicht zu einem VPN Tunnel greifen oder versuchen, wie schon gesagt per SSH zu tunneln.
Auf jeden Fall vereinfacht das die Firewall und bringt mehr Sicherheit.
Ansonsten gibt es echt schönere Wege daten durchs Internet zu schicken, wozu braucht man NFS im Inetz?

Gruss Robert

rudelgurke
20.07.05, 23:56
Ich würde keinesfalls NFS so einfach durch die Firewall lassen, besonders nicht aus dem Internet. Der Portmapper sucht sich wie gesagt einen Port oberhalb von 1024 aus - auf dem jeder User via Perl einen FTP Server laufen lassen kann ohne weitere Rechte auf dem System (sind auch nur ein paar Zeilen in Perl ;) )
Daher durch SSH tunneln oder ein VPN.
Wozu wird aber überhaupt NFS gebraucht ? Ein SSH mit dazu gehörigem SFTP oder SCP wenn's nur ein paar Dateien sind ist wesentlich sicherer.

sirmoloch
21.07.05, 00:11
Ich kann rudelgurke nur zustimmen. NFS wurde für sichere und lokale Umgebungen geschaffen. Für Datentranfsers durch unsichere Umgebungen würde ich der Sicherheit und Einfachheit etwas wie SSH mit SFTP oder normalen SCP benutzen, das auch genau dafür entwickelt wurde.