Hallo

Hab NFS installiert, Datenaustausch funktioniert perfekt, aber nur ohne firewall...............frage:was für ports, ausser jene unten aufgeführte, muss ich noch öffnen:www ssh 20 21 37 119 137 138 139 443 631 2049 10000 portmapper (111) mountd (1319) nlockmgr (1320) dazu noch: man beachte, all diese ports habe ich für tcp UND udp freigeschaltet.....dies ist meine /etc/sysconfig/iptables:
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1319 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 111 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1320 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 37 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 119 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 137 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 138 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 631 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 443 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 138 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 139 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 119 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 137 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 37 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1319 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1320 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 111 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.60 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.162 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.61 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.158 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT

kennt ihr da noch irgendwelche andere ports, die man freischalten muss..? ist schon krass, das sind ja etwa 20ports für einen dienst.....(?)

gruss&danke
pablo

viele dienste (nfsd, statd, mountd, etc) lassen sich mit der option '-p' auf eine festen port legen. damit fällt das versteckspiel mit portmapper weg. details stehen in den manpages zu den entsprechenden diensten.

-j

Original geschrieben von Jasper
viele dienste (nfsd, statd, mountd, etc) lassen sich mit der option '-p' auf eine festen port legen. damit fällt das versteckspiel mit portmapper weg. details stehen in den manpages zu den entsprechenden diensten.

-j ok, danke....also mit "man portmap" oder "man nfs" finde ich überhaupt nix darüber, wie das "-p" anzuwenden ist.......kannst du mir ev. sagen, wie..? das geht alles net:
service nfs -p start
service portmap -p start,
init.d/nfs -p start
init.d/portmap -p start.........was mach ich daran wiederum falsch..?

gruss&danke
pablo

moin moin


kennt ihr da noch irgendwelche andere ports, die man freischalten muss..? ist schon krass, das sind ja etwa 20ports für einen dienst.....(?)


scheinbar ist bei dir eh schon alles erlaubt, deine default policy scheint jedenfalls auf Accept zu stehen.

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]


imho ist nfs eh ein dienst der in einer firewallumgebung nichts zu suchen hat, wenn es unbedingt sein soll, schau dir mal folgendes posting an => http://radawana.cg.tuwien.ac.at/mail-archives/lll/200203/msg00147.html


Gruß HL

Original geschrieben von pablovschby
ok, danke....also mit "man portmap" oder "man nfs" finde ich überhaupt nix darüber, wie das "-p" anzuwenden ist.......kannst du mir ev. sagen, wie..? das geht alles net:
service nfs -p start
service portmap -p start,
init.d/nfs -p start
init.d/portmap -p start.........was mach ich daran wiederum falsch..?


sieh in die startskripte. du musst die daemons mit '-p' starten, also bspw. 'rpc.nfsd -p 6666'
bei redhat8 ist das teilweise schon vorbereitet und per config-parameter in /etc/sysconfig/nfs einstellbar.

-j

Original geschrieben von Jasper
sieh in die startskripte. du musst die daemons mit '-p' starten, also bspw. 'rpc.nfsd -p 6666'
bei redhat8 ist das teilweise schon vorbereitet und per config-parameter in /etc/sysconfig/nfs einstellbar.

-j hast du sonst noch en path oder so...? ich find da nix... im verz. /etc gibts kein ordner und file mit namen *rpc* oder *nfs*............................................. .................ide..?

gruss&danke
pablo

sieh in die startskripte.wo sind die bei redhat8...?

gruss&danke
pablo

Original geschrieben von pablovschby
wo sind die bei redhat8...?


du hast sie doch schon gefunden: /etc/init.d/nfs startet die nfs-daemons.

wenn du in /etc/sysconfig/nfs einträgst:

MOUNTD_PORT="33333", wird rpc.mountd auf port 33333/ucp gestartet. leicht nachzuprüfen mit netstat oder rpcinfo.

-j

Original geschrieben von Jasper
du hast sie doch schon gefunden: /etc/init.d/nfs startet die nfs-daemons.ok, das ist ja schön und gut.......das file existriert auch, aber .....was eintragen:...?
wenn du in /etc/sysconfig/nfs einträgst:

MOUNTD_PORT="33333", wird rpc.mountd auf port 33333/ucp gestartet. leicht nachzuprüfen mit netstat oder rpcinfo.

-j das file /etc/sysconfig/nfs EXISTIERT NICHT...........!!!!!meinst du das file: /var/lock/subsys/nfs....? das wäre jetzt noch leer.........

gruss&danke
pablo

p.s.: ist die "iptables" nun ok...und lässt nur die hier definierten ports durch......oder...?
::RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1319 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 111 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1320 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 37 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 119 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 137 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 138 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 631 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 10000 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 10000 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 443 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 138 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 139 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 119 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 137 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 37 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1319 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1320 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 111 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.60 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.162 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.61 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.158 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT-.--...?

danke....

Original geschrieben von pablovschby
ok, das ist ja schön und gut.......das file existriert auch, aber .....was eintragen:...?


na deine änderungen.

wenn bspw. der nfsd nicht auf dem defaultport 2049 sondern auf 2222 laufen soll, musst die zeile

daemon rpc.nfsd $RPCNFSDCOUNT

in

daemon rpc.nfsd -p 2222 $RPCNFSDCOUNT

ändern. also sieh das file durch und ändere die startaufrufe entsprechend ab. wenn du ganz gut bist, änderst du das skript gleich so ab, dass man mit optionen arbeiten kann. anleitung dazu liefert das skript selbst und zwar der teil, der rpc.mountd startet.



das file /etc/sysconfig/nfs EXISTIERT NICHT...........!!!!!meinst du das file: /var/lock/subsys/nfs....? das wäre jetzt noch leer.........


nein, ich meine /etc/sysconfig/nfs. kann schon sein, dass die leer ist. einfach anlegen.

-j

hier noch das, was ich fand:ome of the daemons involved in sharing data via nfs are already bound to a port. portmap is always on port 111 tcp and udp. nfsd is always on port 2049 TCP and UDP (however, as of kernel 2.4.17, NFS over TCP is considered experimental and is not for use on production machines).

The other daemons, statd, mountd, lockd, and rquotad, will normally move around to the first available port they are informed of by the portmapper.

To force statd to bind to a particular port, use the -p portnum option. To force statd to respond on a particular port, additionally use the -o portnum option when starting it. also.........portmap benützt (laut dieser sache hier) 111 tcp und udp....ist ja frei......der nfsd benützt fest 2049 tcp und udp....auch frei.....statd, mountd, lockd und rquotad müssen also geforct werden......hier mein file...
daemon rpc.statd -p 666 $RPCNFSDCOUNT
daemon rpc.mountd -p 667 $RPCNFSDCOUNT
daemon rpc.lockd -p 668 $RPCNFSDCOUNT
daemon rpc.rquotad -p 669 $RPCNFSDCOUNTich versuchs und meld mich dann wieder...
gruss&danke
pablo


p.s.: ist die iptables von oben ok..?schon, oder...?

mit "-o" werden dann noch die "listen-ports" definiert:
daemon rpc.statd -p 666 -o 670 $RPCNFSDCOUNT
daemon rpc.mountd -p 667 -o671 $RPCNFSDCOUNT
daemon rpc.lockd -p 668 -o 672 $RPCNFSDCOUNT
daemon rpc.rquotad -p 669 -o 673 $RPCNFSDCOUNT

gruss, ich versuchs gleich

das hat alles net hingehauen.....die dienste laufen nicht auf diesen ports, seht selbst:[root@linuxserver1 etc]# rpcinfo -p localhost
Program Vers Proto Port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32770 nlockmgr
100021 3 udp 32770 nlockmgr
100021 4 udp 32770 nlockmgr
100011 1 udp 934 rquotad
100011 2 udp 934 rquotad
100011 1 tcp 937 rquotad
100011 2 tcp 937 rquotad
100005 1 udp 32771 mountd
100005 1 tcp 32888 mountd
100005 2 udp 32771 mountd
100005 2 tcp 32888 mountd
100005 3 udp 32771 mountd
100005 3 tcp 32888 mountdwas habe ich falsch eingegeben in der oben angeführten datei -->>>> hilfe..


gruss&danke
pablo

Original geschrieben von pablovschby
was habe ich falsch eingegeben in der oben angeführten datei -->>>> hilfe..


lockd und rquotad lassen sich nicht auf andere ports legen, nur statd, nfsd und mountd.

und das klappt mit '-p' ganz hervorragend:

# rpc.nfsd
# rpc.mountd -p 2222
# rpc.statd -p 2223
# rpcinfo -p localhost
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32776 nlockmgr
100021 3 udp 32776 nlockmgr
100021 4 udp 32776 nlockmgr
100005 1 udp 2222 mountd
100005 1 tcp 2222 mountd
100005 2 udp 2222 mountd
100005 2 tcp 2222 mountd
100005 3 udp 2222 mountd
100005 3 tcp 2222 mountd
100024 1 udp 2223 status
100024 1 tcp 2223 status

du musst allerdings aufpassen unter welchem user der dienst läuft. manche dienste (statd) laufen unter einen nichtprivilegierten user, können also nicht auf ports < 1024 gelegt werden. am besten alle dienste oberhalb 1024 legen, dann kommt man mit reservierten ports nicht in konflikt.

-j

ok, merci, werde das dann ausprobieren, wenn mein redhat wieder läuft.....ABER ICH FINDE ES SCHON KOMISCH.....
lockd und rquotad lassen sich nicht auf andere ports legen, nur statd, nfsd und mountd. also.......

nfsd ist fest.,,......schon ohne definition...und die anderen zwei dienste, die sich net auf en port forcen lasssen, .........da meint redhat hier aber, dass die sich forcen lassen wie die anderen:
The other daemons, statd, mountd, lockd, and rquotad, will normally move around to the first available port they are informed of by the portmapper.

To force statd to bind to a particular port, use the -p portnum option. To force statd to respond on a particular port, additionally use the -o portnum option when starting it114 aber wie auch immer, ich bin am "präbeln"

gruss&danke
pablo

tut mir leid, hat net funktiuoniert bei mir:
meine /etc/sysconfig/nfs:
rpc.nfsd -p 2221
rpc.mountd -p 2222
rpc.statd -p 2223 so.....der nfsd und der statd werden akzeptiert...., aber der mountd eben net....hier:[root@linuxserver1 etc]# rpcinfo -p localhost
Program Vers Proto Port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2221 nfs
100003 3 udp 2221 nfs
100021 1 udp 32862 nlockmgr
100021 3 udp 32862 nlockmgr
100021 4 udp 32862 nlockmgr
100024 1 udp 2223 status
100011 1 udp 764 rquotad
100011 2 udp 764 rquotad
100011 1 tcp 767 rquotad
100011 2 tcp 767 rquotad
100005 1 udp 32863 mountd
100005 1 tcp 33120 mountd
100005 2 udp 32863 mountd
100005 2 tcp 33120 mountd
100005 3 udp 32863 mountd
100005 3 tcp 33120 mountd was ist jetzt noch falsch...?
gruss&danke
pablo

auch das manuelle eingeben dieser ports bringt nichts hier: [root@linuxserver1 etc]# rpc.mountd -p 2100 -o 2099
[root@linuxserver1 etc]# init.d/nfs start
NFS-Dienste starten: [ OK ]
Starting NFS quotas: [ OK ]
NFS Daemon starten: [ OK ]
NFS mountd starten: [ OK ]
[root@linuxserver1 etc]# rpcinfo -p localhost
Program Vers Proto Port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
391002 2 tcp 32769 sgi_fam
100003 2 udp 2221 nfs
100003 3 udp 2221 nfs
100021 1 udp 32780 nlockmgr
100021 3 udp 32780 nlockmgr
100021 4 udp 32780 nlockmgr
100024 1 udp 2223 status
100011 1 udp 628 rquotad
100011 2 udp 628 rquotad
100011 1 tcp 631 rquotad
100011 2 tcp 631 rquotad
100005 1 udp 32782 mountd
100005 1 tcp 32792 mountd
100005 2 udp 32782 mountd
100005 2 tcp 32792 mountd
100005 3 udp 32782 mountd
100005 3 tcp 32792 mountd
[root@linuxserver1 etc]#

wieso geht das bei dir..?
gruss&danke
pablo

Original geschrieben von pablovschby
tut mir leid, hat net funktiuoniert bei mir:
meine /etc/sysconfig/nfs:
rpc.nfsd -p 2221
rpc.mountd -p 2222
rpc.statd -p 2223

da hast du mich falsch verstanden. in der /etc/sysconfig/nfs werden nur optionen festgelegt, die dann vom skript /etc/init.d/nfs verwendet werden. was du oben angegeben hast, funktioniert so nicht.
mal am beispiel von MOUNTD_PORT:

ändere die datei /etc/sysconfig/nfs so ab, das sie so aussieht:

MOUNTD_PORT=2222

und starte nfs mit 'service nfs restart' neu. dann sollte mountd auf port 2222 sitzen.
die anderen daemons können nicht per option in /etc/sysconfig/nfs auf andere ports gesetzt werden, weil das init-skript diese optionen nicht verwendet. also musst du das initskript entsprechend anpassen. entweder du erweiterst es dahingehend, dass es analog zu mountd die ports aus der datei liest oder du erweiterst einfach die startaufrufe für die einzelnen daemons (nfsd, statd) um '-p port'.

-j

Original geschrieben von pablovschby
auch das manuelle eingeben dieser ports bringt nichts hier: [list][root@linuxserver1 etc]# rpc.mountd -p 2100 -o 2099
[root@linuxserver1 etc]# init.d/nfs start
NFS-Dienste starten: [ OK ]
Starting NFS quotas: [ OK ]
NFS Daemon starten: [ OK ]
NFS mountd starten: [ OK ]


mach mal:

service nfs stop
rpc.mountd -p 2100
rpcinfo -p localhost

mountd sitzt dann auf port 2100.
wenn du nach dem manuellen starten von mountd das ganze nfs startest, wird auch mountd (diesmal ohne die portangabe) neu gestartet.

-j

du hast recht.....aber wieso werden dann die anderen autromatisch nur auf diesen port gelegt., wenn ich init.d/nfs start mache.....? Dann müsste doch auch der mountd dorthin kommen????
gruss
pablo

wo gebe ich an, dass der mountd auch dorthin kommt...? die anderen dienste des nfs werden doch dahin "gemappt", wo ich im file /etc/sysco..ö...../nfs sage

das ist aber eine sache