NFS-ports...scheinen sehr viele zu sein......

**pablovschby** · 28.04.03, 23:33

Hallo

Hab NFS installiert, Datenaustausch funktioniert perfekt, aber nur ohne firewall...............frage:was für ports, ausser jene unten aufgeführte, muss ich noch öffnen:

www ssh 20 21 37 119 137 138 139 443 631 2049 10000 portmapper (111) mountd (1319) nlockmgr (1320)

dazu noch: man beachte, all diese ports habe ich für tcp UND udp freigeschaltet.....dies ist meine /etc/sysconfig/iptables:

Code:

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
#       firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1319 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 111 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1320 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 37 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 119 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 137 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 138 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 631 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 631   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 443   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 138   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 139   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 119   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 137   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 37   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1319   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1320   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 111   -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.60 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.162 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.61 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.158 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT

kennt ihr da noch irgendwelche andere ports, die man freischalten muss..? ist schon krass, das sind ja etwa 20ports für einen dienst.....(?)

gruss&danke
pablo

**Jasper** · 29.04.03, 15:37

viele dienste (nfsd, statd, mountd, etc) lassen sich mit der option '-p' auf eine festen port legen. damit fällt das versteckspiel mit portmapper weg. details stehen in den manpages zu den entsprechenden diensten.

-j

**pablovschby** · 29.04.03, 16:05

Original geschrieben von Jasper
viele dienste (nfsd, statd, mountd, etc) lassen sich mit der option '-p' auf eine festen port legen. damit fällt das versteckspiel mit portmapper weg. details stehen in den manpages zu den entsprechenden diensten.

-j

ok, danke....also mit "man portmap" oder "man nfs" finde ich überhaupt nix darüber, wie das "-p" anzuwenden ist.......kannst du mir ev. sagen, wie..? das geht alles net:

Code:

service nfs -p start
service portmap -p start,
init.d/nfs -p start
init.d/portmap -p start.........

was mach ich daran wiederum falsch..?

gruss&danke
pablo

**HangLoose** · 29.04.03, 16:11

moin moin

kennt ihr da noch irgendwelche andere ports, die man freischalten muss..? ist schon krass, das sind ja etwa 20ports für einen dienst.....(?)

scheinbar ist bei dir eh schon alles erlaubt, deine default policy scheint jedenfalls auf Accept zu stehen.

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

imho ist nfs eh ein dienst der in einer firewallumgebung nichts zu suchen hat, wenn es unbedingt sein soll, schau dir mal folgendes posting an => http://radawana.cg.tuwien.ac.at/mail.../msg00147.html

Gruß HL

**Jasper** · 29.04.03, 16:28

Original geschrieben von pablovschby
ok, danke....also mit "man portmap" oder "man nfs" finde ich überhaupt nix darüber, wie das "-p" anzuwenden ist.......kannst du mir ev. sagen, wie..? das geht alles net:

Code:

service nfs -p start service portmap -p start, init.d/nfs -p start init.d/portmap -p start.........

was mach ich daran wiederum falsch..?

sieh in die startskripte. du musst die daemons mit '-p' starten, also bspw. 'rpc.nfsd -p 6666'
bei redhat8 ist das teilweise schon vorbereitet und per config-parameter in /etc/sysconfig/nfs einstellbar.

-j

**pablovschby** · 29.04.03, 16:32

Original geschrieben von Jasper
sieh in die startskripte. du musst die daemons mit '-p' starten, also bspw. 'rpc.nfsd -p 6666'
bei redhat8 ist das teilweise schon vorbereitet und per config-parameter in /etc/sysconfig/nfs einstellbar.

-j

hast du sonst noch en path oder so...? ich find da nix... im verz. /etc gibts kein ordner und file mit namen *rpc* oder *nfs*............................................. .................ide..?

gruss&danke
pablo

**pablovschby** · 29.04.03, 16:34

sieh in die startskripte.

wo sind die bei redhat8...?

gruss&danke
pablo

**Jasper** · 29.04.03, 16:46

Original geschrieben von pablovschby
wo sind die bei redhat8...?

du hast sie doch schon gefunden: /etc/init.d/nfs startet die nfs-daemons.

wenn du in /etc/sysconfig/nfs einträgst:

MOUNTD_PORT="33333", wird rpc.mountd auf port 33333/ucp gestartet. leicht nachzuprüfen mit netstat oder rpcinfo.

-j

**pablovschby** · 29.04.03, 16:58

Original geschrieben von Jasper
du hast sie doch schon gefunden: /etc/init.d/nfs startet die nfs-daemons.

ok, das ist ja schön und gut.......das file existriert auch, aber .....was eintragen:...?

wenn du in /etc/sysconfig/nfs einträgst:

MOUNTD_PORT="33333", wird rpc.mountd auf port 33333/ucp gestartet. leicht nachzuprüfen mit netstat oder rpcinfo.

-j

das file /etc/sysconfig/nfs EXISTIERT NICHT...........!!!!!meinst du das file: /var/lock/subsys/nfs....? das wäre jetzt noch leer.........

gruss&danke
pablo

p.s.: ist die "iptables" nun ok...und lässt nur die hier definierten ports durch......oder...?

Code:

::RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1319 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 111 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1320 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 37 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 119 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 137 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 138 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 631 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 10000 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 10000 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 443 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 138 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 139 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 119 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 137 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 37 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1319 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1320 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 111 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.60 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.162 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.61 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.158 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT

-.--...?

danke....

**Jasper** · 29.04.03, 17:11

Original geschrieben von pablovschby
ok, das ist ja schön und gut.......das file existriert auch, aber .....was eintragen:...?

na deine änderungen.

wenn bspw. der nfsd nicht auf dem defaultport 2049 sondern auf 2222 laufen soll, musst die zeile

daemon rpc.nfsd $RPCNFSDCOUNT

in

daemon rpc.nfsd -p 2222 $RPCNFSDCOUNT

ändern. also sieh das file durch und ändere die startaufrufe entsprechend ab. wenn du ganz gut bist, änderst du das skript gleich so ab, dass man mit optionen arbeiten kann. anleitung dazu liefert das skript selbst und zwar der teil, der rpc.mountd startet.

das file /etc/sysconfig/nfs EXISTIERT NICHT...........!!!!!meinst du das file: /var/lock/subsys/nfs....? das wäre jetzt noch leer.........

nein, ich meine /etc/sysconfig/nfs. kann schon sein, dass die leer ist. einfach anlegen.

-j

**pablovschby** · 29.04.03, 17:21

hier noch das, was ich fand:

ome of the daemons involved in sharing data via nfs are already bound to a port. portmap is always on port 111 tcp and udp. nfsd is always on port 2049 TCP and UDP (however, as of kernel 2.4.17, NFS over TCP is considered experimental and is not for use on production machines).

The other daemons, statd, mountd, lockd, and rquotad, will normally move around to the first available port they are informed of by the portmapper.

To force statd to bind to a particular port, use the -p portnum option. To force statd to respond on a particular port, additionally use the -o portnum option when starting it.

also.........portmap benützt (laut dieser sache hier) 111 tcp und udp....ist ja frei......der nfsd benützt fest 2049 tcp und udp....auch frei.....statd, mountd, lockd und rquotad müssen also geforct werden......hier mein file...

Code:

daemon rpc.statd -p 666 $RPCNFSDCOUNT
daemon rpc.mountd -p 667 $RPCNFSDCOUNT
daemon rpc.lockd -p 668 $RPCNFSDCOUNT
daemon rpc.rquotad -p 669 $RPCNFSDCOUNT

ich versuchs und meld mich dann wieder...
gruss&danke
pablo

p.s.: ist die iptables von oben ok..?schon, oder...?

**pablovschby** · 29.04.03, 17:40

mit "-o" werden dann noch die "listen-ports" definiert:

Code:

daemon rpc.statd -p 666 -o 670 $RPCNFSDCOUNT
daemon rpc.mountd -p 667 -o671 $RPCNFSDCOUNT
daemon rpc.lockd -p 668 -o 672 $RPCNFSDCOUNT
daemon rpc.rquotad -p 669 -o 673 $RPCNFSDCOUNT

gruss, ich versuchs gleich

**pablovschby** · 29.04.03, 18:02

das hat alles net hingehauen.....die dienste laufen nicht auf diesen ports, seht selbst:

[root@linuxserver1 etc]# rpcinfo -p localhost
Program Vers Proto Port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32770 nlockmgr
100021 3 udp 32770 nlockmgr
100021 4 udp 32770 nlockmgr
100011 1 udp 934 rquotad
100011 2 udp 934 rquotad
100011 1 tcp 937 rquotad
100011 2 tcp 937 rquotad
100005 1 udp 32771 mountd
100005 1 tcp 32888 mountd
100005 2 udp 32771 mountd
100005 2 tcp 32888 mountd
100005 3 udp 32771 mountd
100005 3 tcp 32888 mountd

was habe ich falsch eingegeben in der oben angeführten datei -->>>> hilfe..

gruss&danke
pablo

**Jasper** · 30.04.03, 08:29

Original geschrieben von pablovschby
was habe ich falsch eingegeben in der oben angeführten datei -->>>> hilfe..

lockd und rquotad lassen sich nicht auf andere ports legen, nur statd, nfsd und mountd.

und das klappt mit '-p' ganz hervorragend:

# rpc.nfsd
# rpc.mountd -p 2222
# rpc.statd -p 2223
# rpcinfo -p localhost
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32776 nlockmgr
100021 3 udp 32776 nlockmgr
100021 4 udp 32776 nlockmgr
100005 1 udp 2222 mountd
100005 1 tcp 2222 mountd
100005 2 udp 2222 mountd
100005 2 tcp 2222 mountd
100005 3 udp 2222 mountd
100005 3 tcp 2222 mountd
100024 1 udp 2223 status
100024 1 tcp 2223 status

du musst allerdings aufpassen unter welchem user der dienst läuft. manche dienste (statd) laufen unter einen nichtprivilegierten user, können also nicht auf ports < 1024 gelegt werden. am besten alle dienste oberhalb 1024 legen, dann kommt man mit reservierten ports nicht in konflikt.

-j

**pablovschby** · 30.04.03, 12:36

ok, merci, werde das dann ausprobieren, wenn mein redhat wieder läuft.....ABER ICH FINDE ES SCHON KOMISCH.....

lockd und rquotad lassen sich nicht auf andere ports legen, nur statd, nfsd und mountd.

also.......

nfsd ist fest.,,......schon ohne definition...und die anderen zwei dienste, die sich net auf en port forcen lasssen, .........da meint redhat hier aber, dass die sich forcen lassen wie die anderen:

The other daemons, statd, mountd, lockd, and rquotad, will normally move around to the first available port they are informed of by the portmapper.

To force statd to bind to a particular port, use the -p portnum option. To force statd to respond on a particular port, additionally use the -o portnum option when starting it114

aber wie auch immer, ich bin am "präbeln"

gruss&danke
pablo

Thema: NFS-ports...scheinen sehr viele zu sein......

Themen-Optionen

Thema bewerten

Anzeige

NFS-ports...scheinen sehr viele zu sein......

Lesezeichen

Lesezeichen

Berechtigungen