Hi,

ich bin noch ein ziemlicher Noob, also bitte entschuldigt diese Anfängerfrage:
Welche Ports muss ich in der Firewall freigeben, damit ich auch NFS-Freigaben zugreifen kann bzw. NFS-Freigaben von aussen erreichbar sind?
Freigabe von TCP/UDP Port 2049 alleine scheint nicht auszureichen.
Ohne FW klappt alles also an der NFS-Konfiguration kanns nicht liegen.
Bitte gebt mir doch einen kleinen Tip, damit ich nicht immer Samba benutzen muss.
Danke!

Hi

Was klappt denn nicht genau? Wie sehen die FW Regeln bezüglich dieser Ports aus?

Cu
André

Welches NFS verwendest du? UDP oder TCP?

gruss,
pitu

muss nich der Portmapper Port 111 mit freigegeben sein ???

Gruß Temp

Also, in der Filewall sind port 2049 für udp und tcp freigegeben. Welche nfs (ob tcp oder udp weiss ich nicht, denke aber udp, da Mandrake 9.1 Standard).
Mit aktiver Firewall bleibt er meim Mountbefehl hängen und wartet wohl auf ein timeout.
Bei deaktivierter Firewall mountet er sofort.
Tja, nun habe ich gelesen, alle Ports >2049 müssten für nfs freigegeben werden.
Wenn dem so ist, nutze ich lieber samba, da sind wenigstens die ports festgelegt. Eine Firewall brauche ich. Ich frage mir nur, warum ein netter Forumteinehmer mir auf eine Anfrage zu Samba zu NFS geraten hat, wo doch NFS offensichtlich mit Firewall nicht richtig zu betreiben ist. Was nützt eine Firewall wenn die Haustür (sprich ports) alle offen stehen.
Nee, also dann ist doch samba wohl vorzuziehen...

Original geschrieben von mdkuser
Tja, nun habe ich gelesen, alle Ports >2049 müssten für nfs freigegeben werden.Das wiederum kann ich mir nicht vorstellen. Loggst Du nicht alle abgewiesenen Pakete der Firewall mit? Hier koenntest Du naemlich sehr schoen sehen, wie der Verbindungsaufbau erfolgt, welche Ports und Protokolle "haengenbleiben". Bei mir sieht das zB. so aus:
# hier sollte nun wirklich alles behandelt sein, alles, was uebrig
# bleibt, wird geloggt;-)
$IPTABLES -A INPUT -j LOG --log-prefix "endI --- "
$IPTABLES -A OUTPUT -j LOG --log-prefix "endO --- "
$IPTABLES -A FORWARD -j LOG --log-prefix "endF --- "Evtl. solltest Du Dir auch mal die Parameter ESTABLISHED, RELATED und NEW anschauen:
# Erlaube alles, was zu einer bestehenden Verbindung gehört
# Um festzulegen, was darueber hinaus erlaubt wird, --state NEW benutzen

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPTGruss Pit.

PS: Abgesehen davon wuerde ich mir wirklich ueberlegen, ob eine NFS-Freigabe via Internet sinnvoll ist. Meines Wissens nach werden alle Daten naemlich unverschluesselt uebertragen. Man korrigiere mich bitte, wenn ich hier falsch liegen sollte.

Zunächst erstmal danke an alle die versucht haben mir zu helfen.
Nur, leider werde ich aus Euren Ausführungen nicht schlau. Wie mit loggen? Wo finde ich dann die Logfiles? Was sagen diese mir?
Ich bin wie gesagt noch ein Newbie und habe noch keine genaue Peilung von dem ganzen.
NFS will ich ja nicht für das Internet freigeben, nur mein Notebook hat nun mal nur eine Ethernetkarte und mit der gehe ich normalerweise online (daher ist die Firewall wichtig) aber falls ich mal Daten von meinem Desktop auf den Schleppi übertragen will dann mache ich das eben auch über den Adapter. Jetzt sollte die FW einfach nur so konfiguriert sein, dass ich mit dem Schleppi auf die NFS-Freigaben des Desktops zugreifen kann, umgedreht aber kein Zugriff auf den Schleppi möglich ist. Es muss doch zu realisieren sein. Alle ausgehenden Verbindungen werden doch erlaubt, alle eingehenden Verbindungen werden geblockt. Soweit ist die Konfiguration doch richtig für ein Client-System, oder?

du kannst auch speziell für eine IP dienste anbieten....

bzw. halt in der FIrewall für ein/mehrere IP/s freischalten.

So könntest du die private IP deines Rechners freischalten auf den Schleppi zugreifen zu dürfen.

Der Rest der welt wär aussen vor....

Gruß Temp

Danke, das mit der IP-Einschränkung klingt gut. Nur wie bringe ich das den IPTABLES bei?
Ausserdem habe ich noch das problem, dass mein Desktop seine IP per DHCP erhält und der Lease alle 3-4 Wochen abläuft, was bedeutet, dass ich nicht wissen kann welche IP er als nächstes kriegt.
Nun, dann mache ich die Sache eben über Samba. Ich verstehe bloss nicht wieso man bei einem nur Client-Zugriff Ports nach aussen hin öffnen muss, wo doch die Default Rule allow fw to net accept all lautet. Man möge mich korrigieren wenn ich falsch liege, aber für einen Client Zugriff brauche ich doch keine Dienste auf die der Server zugreifen kann oder?
Danke nochmal an alle.

Original geschrieben von mdkuser
Danke, das mit der IP-Einschränkung klingt gut. Nur wie bringe ich das den IPTABLES bei?
Ausserdem habe ich noch das problem, dass mein Desktop seine IP per DHCP erhält und der Lease alle 3-4 Wochen abläuft, was bedeutet, dass ich nicht wissen kann welche IP er als nächstes kriegt.


Du kannst die MAC-Adresse im DHCP-Server fest eintragen, das der Rechner immer die selber IP bekommst. egal wie oft am Tag du hoch und runter fährst. ;)


Hab allerdings die Datei vergessen. Kann aber wenn ich zuhause bin gerne für dich Nachscheuen, wenn es nicht einer der User aus dem Ärmel schüttelt.

die dhcpd.conf ist die datei in der man die ip an eine mac binden kann.

cu burn

Original geschrieben von burn
die dhcpd.conf ist die datei in der man die ip an eine mac binden kann.Das ist soweit richtig, aber ich vermute, dass sein Problem ein ganz anderes ist: Er hat ein ?DSL-Abo und hat zwei Rechner angeschlossen. Beide beziehen ihre IP-Adresse vom Provider. Diese wechselt alle x Tage und kann von ihm nicht beeinflusst werden. Nun moechte er von einen Rechner auf den anderen via NFS zugreifen, kann es aber nicht, weil einer der Rechner (wieso eigentlich nicht beide?) eine Firewall an Laufen hat, die das verbietet.

@mdkuser:
Wenn das so richtig ist: Warum hast Du es dann nicht gleich so geschrieben?

Loesungsvorschlag auf die Schnelle, auch fuer "Frischlinge" nachvollziehbar: Wenn Du zwischen Deinen zwei Rechnern Datem via NFS kopieren willst, ziehe den Stecker vom Internet-Modem heraus und schalte anschliessend die Firewall aus. Wenn Du fertig bist, wieder den umgekehrten Weg nehmen;-)

Gruss Pit.