PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : nlockmgr an port binden



chris_h
29.11.07, 17:01
Hi,

ich möchte gerne die FW-Einstellungen machen,
http://tldp.org/HOWTO/NFS-HOWTO/security.html.

Wie binde ich den nlockmgr an einen best. Port? Alles andere ist gut erklärt.


program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100021 1 udp 32768 nlockmgr
100021 3 udp 32768 nlockmgr
100021 4 udp 32768 nlockmgr
100021 1 tcp 44757 nlockmgr
100021 3 tcp 44757 nlockmgr
100021 4 tcp 44757 nlockmgr
100005 1 udp 32767 mountd
100005 1 tcp 32767 mountd
100005 2 udp 32767 mountd
100005 2 tcp 32767 mountd
100005 3 udp 32767 mountd
100005 3 tcp 32767 mountd
391002 2 tcp 878 sgi_fam
100024 1 udp 32765 status
100024 1 tcp 32765 status


Wofür brauche ich sgi_fam?

Danke,
Chris

clumsy
10.12.07, 21:08
Die Ports kannst du normalerweise hier drin binden:
/etc/sysctl.conf

Die Parameter heißen fs.nfs.nlm_tcpport und fs.nfs.nlm_udpport.

clumsy

chris_h
11.12.07, 13:25
Hi clumsy,

ein Eintrag von
fs.nfs.nlm_tcpport=49307
fs.nfs.nlm_udpport=49307
in sysctl.conf und reboot brachte nix.

Hast du noch mehr infos zu sysctl.conf? Die man ist nicht gerade umfangreich.



13:20:37.031908 IP 192.168.101.151.111 > 192.168.101.152.26899: F 33:33(0) ack 98 win 91 <nop,nop,timestamp 54693 5197608>
13:20:37.031918 IP 192.168.101.152.26899 > 192.168.101.151.111: . ack 34 win 46 <nop,nop,timestamp 5197609 54693>
13:20:40.025874 IP 192.168.101.152.1004 > 192.168.101.151.50412: S 1998368641:1998368641(0) win 5840 <mss 1460,sackOK,timestamp 5198358 0,nop,wscale 7>
13:20:46.028484 IP 192.168.101.152.1004 > 192.168.101.151.50412: S 1998368641:1998368641(0) win 5840 <mss 1460,sackOK,timestamp 5199858 0,nop,wscale 7>
13:20:58.029225 IP 192.168.101.152.1004 > 192.168.101.151.50412: S 1998368641:1998368641(0) win 5840 <mss 1460,sackOK,timestamp 5202858 0,nop,wscale 7>
13:21:22.026724 IP 192.168.101.152.1004 > 192.168.101.151.50412: S 1998368641:1998368641(0) win 5840 <mss 1460,sackOK,timestamp 5208858 0,nop,wscale 7>
13:21:23.902829 arp who-has 192.168.101.151 tell 192.168.101.152
13:21:23.903044 arp reply 192.168.101.151 is-at 00:05:5d:d5:40:80
13:21:37.027754 IP 192.168.101.152.1152123559 > 192.168.101.151.2049: 100 access [|nfs]
13:21:37.028253 IP 192.168.101.151.2049 > 192.168.101.152.1152123559: reply ok 124 access [|nfs]
13:21:37.028270 IP 192.168.101.152.815 > 192.168.101.151.2049: . ack 357 win 501 <nop,nop,timestamp 5212608 69691>
13:21:37.028293 IP 192.168.101.152.1168900775 > 192.168.101.151.2049: 104 getattr [|nfs]
13:21:37.028646 IP 192.168.101.151.2049 > 192.168.101.152.1168900775: reply ok 116 getattr [|nfs]
...

Der lokale PC versucht sich auf dem Port 50412 zu verbinden und wartet ca. 20 Sek.



program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100021 1 udp 32768 nlockmgr
100021 3 udp 32768 nlockmgr
100021 4 udp 32768 nlockmgr
100021 1 tcp 50412 nlockmgr
100021 3 tcp 50412 nlockmgr
100021 4 tcp 50412 nlockmgr
100005 1 udp 32767 mountd
100005 1 tcp 32767 mountd
100005 2 udp 32767 mountd
100005 2 tcp 32767 mountd
100005 3 udp 32767 mountd
100005 3 tcp 32767 mountd
391002 2 tcp 653 sgi_fam
100024 1 udp 32765 status
100024 1 tcp 32765 status

was nicht klappen kann, da dieser Port geFWed ist.

Chris

clumsy
11.12.07, 14:38
Der lockd wird vom Kernel gestartet. Ist der bei dir als Modul oder fest im Kernel?
Falls Modul, in der modprobe.conf sowas in der Art hinzufügen:


options lockd nlm_udpport=49307 nlm_tcpport=49307


Für den mountd und statd reicht die "-p <PORTNUMMER>"-Option beim Starten der Dienste.

Danach mach mal nen rpcinfo oder nen netstat, um zu sehen, ob´s geklappt hat.

clumsy

chris_h
11.12.07, 16:57
Habe die Zeile in /etc/modules eingefügt. Das komische ist, dass auf diesem Port _und_ auf einem anderen nlockmgr gestartet wird, siehe rpcinfo (weiter oben).
Wenn nun am Client ein Programm sich mit dem nlockmgr verbinden will, versucht er ausgerechnet zu dem am falschen Port (hier 50412) und läuft so ins Leere.

/etc/modules:
options lockd nlm_udpport=32768 nlm_tcpport=32768

clumsy
11.12.07, 16:59
dann nimm mal für UDP und TCP unterschiedliche Ports...wobei ich nicht glaube, dass das hilft ;-)


options lockd nlm_udpport=49307 nlm_tcpport=49308

chris_h
11.12.07, 18:55
Nope, immer noch der nlockmgr auf unbestimmten Port.

clumsy
11.12.07, 23:48
sorry, dann weiß ich auch nicht weiter...

chris_h
09.03.08, 13:53
Die options müssen in die /etc/modprobe.d/options.local (!) eingetragen werden.
Nun funzt es.