Archiv verlassen und diese Seite im Standarddesign anzeigen : Mounten von NFS über Firewall
vladonline
14.07.05, 03:01
Ich habe jetzt halbe nacht durchgesessen aber keine lösung gefunden.
Ich möchte eine NFS partition mounten.
Lokal funktioniert es aber aus dem internet bekomme ich es einfach nicht gebacken.
meldung:
mount: RPC: Unable to receive; errno = Connection refused
in messages steht nichts!
hosts.allow ist leer
hosts.deny ist auch leer
die Firewall sieht so aus:
iptables -F
iptables -F -t nat
iptables -X
iptables -A INPUT -i ppp0 -p udp -j REJECT
iptables -A INPUT -i ppp0 -p tcp ! --syn -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 111 -j ACCEPT #NFS
iptables -A INPUT -i ppp0 -p tcp --dport 111 -j ACCEPT #NFS
iptables -A INPUT -i ppp0 -p udp --dport 2049 -j ACCEPT #NFS
iptables -A INPUT -i ppp0 -p tcp --dport 2049 -j ACCEPT #NFS
Es ist eine alte SUSE 8.0
Hat jemand eine Idei befor ich mich aus dem Fenster schmeisse?
chrisi1698
14.07.05, 05:51
idee: NFS ueber ssh tunneln. wies genau geht weiss ich leider selbst nicht (habs noch nie gemacht, aber gelesen, dass es geht, weils mich mal interessiert hat
http://www.math.ualberta.ca/imaging/snfs/
hope it helps,
lg, chris
Versuch mal folgendes in der Output-Chain:
iptables -A OUTPUT -i ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT
Damit lässt du alle Antwort-Pakete ab Port 1024 nur auf der TCP Ebene rein...
Keine Ahnung, ob NFS über Firewall funktioniert, ist jedenfalls unsicher...
vladonline
14.07.05, 10:48
grafin:/etc/init.d # iptables -A OUTPUT -i ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT
iptables v1.2.5: Can't use -i with OUTPUT
Try `iptables -h' or 'iptables --help' for more information.
Da ist was verkehrt.
Ersetze:
iptables -A OUTPUT -i ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT
mit:
iptables -A OUTPUT -o ppp0 -p tcp -m state --state new,established,related --sport 1024: -j ACCEPT
Was soll den --state new,established,related bringen?
Was soll den --state new,established,related bringen?
Es gibt noch weitere "Zustände" bei TCP/IP-Paketen, wie z.B. invalid.
vladonline
14.07.05, 11:24
Danke aber es kommt immer noch zur Fehlermeldung:
mount: RPC: Kann nicht empfangen; errno = Verbindungsaufbau abgelehnt
Schau bitte mal hier: http://gentoo-wiki.com/HOWTO_Share_Directories_via_NFS#Setting_Up_Firewal l_.28Server_Side.29
Wenn Du iptables -A verwendest, werden die Regeln hinten drangehängt. Also Deine erste Regel lautet:
iptables -A INPUT -i ppp0 -p udp -j REJECT
Und die wird wohl greifen.
Nur so als Ansatz, ich würde vielleicht zu einem VPN Tunnel greifen oder versuchen, wie schon gesagt per SSH zu tunneln.
Auf jeden Fall vereinfacht das die Firewall und bringt mehr Sicherheit.
Ansonsten gibt es echt schönere Wege daten durchs Internet zu schicken, wozu braucht man NFS im Inetz?
Gruss Robert
rudelgurke
20.07.05, 22:56
Ich würde keinesfalls NFS so einfach durch die Firewall lassen, besonders nicht aus dem Internet. Der Portmapper sucht sich wie gesagt einen Port oberhalb von 1024 aus - auf dem jeder User via Perl einen FTP Server laufen lassen kann ohne weitere Rechte auf dem System (sind auch nur ein paar Zeilen in Perl ;) )
Daher durch SSH tunneln oder ein VPN.
Wozu wird aber überhaupt NFS gebraucht ? Ein SSH mit dazu gehörigem SFTP oder SCP wenn's nur ein paar Dateien sind ist wesentlich sicherer.
Ich kann rudelgurke nur zustimmen. NFS wurde für sichere und lokale Umgebungen geschaffen. Für Datentranfsers durch unsichere Umgebungen würde ich der Sicherheit und Einfachheit etwas wie SSH mit SFTP oder normalen SCP benutzen, das auch genau dafür entwickelt wurde.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.