PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : nfs an netzwerkkarte binden



BeS
18.01.03, 00:28
Hallo,
ich habe das Problem, dass man meine freigegebenen Verzeichnisse auch aus dem Internet sehen kann. Deshalb frage ich mich ob es nicht eine Möglichkeit gibt den nfs server an eine Netzwerkkarte zu binden, so dass er nur noch auf Anfragen von der internen Netzwerkkarte reagiert?

Ist sowas möglich?

Danke!

HangLoose
18.01.03, 01:34
moin moin

ob man nfs per config an das interne interface binden kann, weiß ich nicht. habe selbst noch nie nfs eingesetzt.

warum unterbindest du das ganze nicht mittels iptables?


Gruß HL

geronet
18.01.03, 08:08
Genau das hab ich mich auch schon gefragt, aber nix gefunden.. leider.
Zur Zeit hab ich NFS nur durch iptables von aussen gesperrt..

Grüsse, Stefan

move
18.01.03, 09:09
Ich nutze auch nfs.
Wie kann man sich denn die Verzeichnissse übers Internet anzeigen lassen??

gruß

geronet
18.01.03, 09:10
Mit "showmount".

siehe auch "man showmount".

move
18.01.03, 09:16
Das ging ja schnell. Danke: )

BeS
18.01.03, 13:36
Hallo,
das habe ich eigentlich gemacht, also ich verwende ipchains und habe folgende Regeln aufgestellt:



# NFS (2049) über UDP sperren
$IPC -A input -i $EXT -p udp -d $LOCALIP 2049 -j DENY -l
# NFS (2049) über TCP sperren
$IPC -A input -i $EXT -p tcp -y -d $LOCALIP 2049 -j DENY -l
$IPC -A output -i $EXT -p tcp -y -d $ANYWHERE 2049 -j DENY -l


das müsste doch eigentlich richtig sein?
Wenn ich mein Netz aber mit nessus scanne werden trotzdem die nfs Freigaben angezeigt.
Kann es vielleicht auch daran liegen, das nessus im inneren Netz läuft, und deshalb von den ipchains Regel garnicht betroffen ist?

Danke!

geronet
18.01.03, 13:51
Ja man sollte schon den Rechner von aussen scannen lassen...

Newbie2001
18.01.03, 14:07
du kannst ja in der /etc/exports einstellen an welches netz du die freigabe richten willst.
wenn du also willst, das nur leute aus dem 192.168.1.0/24 netz deine freigaben sehne sollen, dann sollte das hier dir helfen:

/share/freigabename 192.168.1.0/24(ro,no_root_squash)

die optionen in der klammer sind natürlich frei wählbar, das is nur ein beispiel.
ich würde für nfs sowieso die nfs-over-tcp option im kernel aktivieren, da du für tcp-ports noch ne stateful-inspection in deine firewall einbauen kannst. ausserdem haben die ports dann immer die gleiche nummer und du musst nur den portmapper, den mountport und den nfsd-port freigeben. der portmapper hat 111, der rpc.mountd oftmal 1026, das variiert aber und der nfsd hat 2049.