Discussion:
iptables y nfs
(demasiado antiguo para responder)
feo@soy.madre
2006-01-20 09:51:28 UTC
Permalink
Estamos configurando nfs en los ordenadores para que puedan compartir
directorios entre ellos, el siguiente paso será samba, pero primero quiero
que conozcan nfs.

Debido al puto iptables no pueden conectarse unos a otros por que cierra los
puertos, una solucion es desactivar el servicio de iptables, pero es una
animalada que quiero evitar. El problema está en que parece ser que nfs
elige puertos aleatorios paa sus servicios y no se de que forma dejar pasar
nfs!. alguien puede echarme una mano?. Estamos currando con fedora core 4,
pero lo mejor seria una solución global ;)

gracias de antemano
J.A. Gutierrez
2006-01-20 11:00:55 UTC
Permalink
***@soy.madre <***@yahoo.es> wrote:

: Debido al puto iptables no pueden conectarse unos a otros por que cierra los
: puertos, una solucion es desactivar el servicio de iptables, pero es una
: animalada que quiero evitar. El problema está en que parece ser que nfs
: elige puertos aleatorios paa sus servicios y no se de que forma dejar pasar
: nfs!. alguien puede echarme una mano?. Estamos currando con fedora core 4,
: pero lo mejor seria una solución global ;)

Pues hombre, lo que puedes hacer es no desactivar iptables,
sino dar acceso a todo lo que venga de la IP del servidor NFS.

Al fin y al cabo, si comparten sistemas de ficheros, ya hay
una relacion de confianza implicita; con lo cual el abrir
el firewall para el servidor no significa perder seguridad.

(por supuesto, lo mejor es que tengas un servidor NFS central
donde resida toda la informacion, eso de "que se vean los
unos a los otros" suele ser una politica no muy recomendable)
--
PGP and other useless info at \
http://webdiis.unizar.es/~spd/ \
finger://daphne.cps.unizar.es/spd \ Timeo Danaos et dona ferentes
ftp://ivo.cps.unizar.es/pub/ \ (Virgilio)
David Serrano (Hue-Bond)
2006-01-20 17:17:07 UTC
Permalink
El problema está en que parece ser que nfs elige puertos aleatorios paa
sus servicios y no se de que forma dejar pasar nfs!.
En mi caso, lo "solucioné" abriendo el rango 600-1023 UDP. José María López
Hernández (que dónde se habrá metido...) puso una vez en algún grupo de
estos un script muy mono que consultaba la configuración del servidor para
abrir los puertos exactos. El código forma parte del bastion firewall, y con
toda probabilidad podrás examinarlo en bastionfirewall.sourceforge.net.
--
David Serrano
jose maria
2006-01-20 19:30:53 UTC
Permalink
Post by ***@soy.madre
Estamos configurando nfs en los ordenadores para que puedan compartir
directorios entre ellos, el siguiente paso ser� samba, pero primero
quiero que conozcan nfs.
Debido al puto iptables no pueden conectarse unos a otros por que
cierra los puertos, una solucion es desactivar el servicio de
iptables, pero es una animalada que quiero evitar. El problema est�
en que parece ser que nfs elige puertos aleatorios paa sus servicios y
no se de que forma dejar pasar nfs!. alguien puede echarme una mano?.
Estamos currando con fedora core 4, pero lo mejor seria una soluci�n
global ;)
gracias de antemano
* man rpc.mountd, especialmente la opcion -p para forzar a escuchar en
un puerto definido, a partir de aqui el resto de puertos son los
clasicos nfs, no necesitas abrir rangos.

* mira si existe un fichero /etc/sysconfig/nfs o similar en tu
distribucion, hay lo puedes configurar y si no a manopla modificando el
script de arranque de nfsserver.
J.A. Gutierrez
2006-01-23 13:59:30 UTC
Permalink
jose maria <***@letrados.org> wrote:

: * man rpc.mountd, especialmente la opcion -p para forzar a escuchar en
: un puerto definido, a partir de aqui el resto de puertos son los
: clasicos nfs, no necesitas abrir rangos.

: * mira si existe un fichero /etc/sysconfig/nfs o similar en tu
: distribucion, hay lo puedes configurar y si no a manopla modificando el
: script de arranque de nfsserver.

Aunque (aun) no lo he probado, la cosa seria (FC4):

NIS:
/etc/sysconfig/network
YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835"
/etc/sysconfig/yppasswdd
YPPASSWDD_ARGS="--port 1184"

/var/yp/securenets

NFS:

/etc/sysconfig/nfs

STATD_PORT=32765
STATD_OUTGOING_PORT=32766 # not strictly necessary i'd suspect
MOUNTD_PORT=32767
LOCKD_TCPPORT=32768
LOCKD_UDPPORT=32768
RPCRQUOTADOPTS="-p 1146"

Con eso bastaria para poder controlar un poco mas el tema.
(bueno, faltaria tambien abrir el portmap (tcp/udp/111) y tampoco
estarian demas reglas en hosts.access tipo
portmap: 192.168. : ALLOW
rpc.mountd: 192.168. : ALLOW
)
--
PGP and other useless info at \
http://webdiis.unizar.es/~spd/ \
finger://daphne.cps.unizar.es/spd \ Timeo Danaos et dona ferentes
ftp://ivo.cps.unizar.es/pub/ \ (Virgilio)
J.A. Gutierrez
2006-01-24 15:04:29 UTC
Permalink
J.A. Gutierrez <***@daphne.cps.unizar.es> wrote:
: jose maria <***@letrados.org> wrote:

: : * man rpc.mountd, especialmente la opcion -p para forzar a escuchar en
: : un puerto definido, a partir de aqui el resto de puertos son los
: : clasicos nfs, no necesitas abrir rangos.

: : * mira si existe un fichero /etc/sysconfig/nfs o similar en tu
: : distribucion, hay lo puedes configurar y si no a manopla modificando el
: : script de arranque de nfsserver.

: Aunque (aun) no lo he probado, la cosa seria (FC4):

: NIS:

Me corrijo:


NFS:

/etc/sysconfig/nfs

# NFS port numbers
STATD_PORT=10002
STATD_OUTGOING_PORT=10003
MOUNTD_PORT=10004
RPCRQUOTADOPTS="-p 10005"
RQUOTAD_PORT=10005

lockd
/etc/modprobe.conf
options lockd nlm_tcpport=10000 nlm_udpport=10001

(los num. de puerto son indiferentes, pero asi es mas facil
poner luego los filtros)

# portmapper
-A RH-Firewall-1-INPUT -m tcp -p tcp -s 192.168.1.0/24 --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp -s 192.168.1.0/24 --dport 111 -j ACCEPT
#
# NFS
#
-A RH-Firewall-1-INPUT -m tcp -p tcp -s 192.168.1.0/24 --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp -s 192.168.1.0/24 --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp -s 192.168.1.0/24 --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp -s 192.168.1.0/24 --dport 10001 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp -s 192.168.1.0/24 --dport 10002:10005 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp -s 192.168.1.0/24 --dport 10002:10005 -j ACCEPT
--
PGP and other useless info at \
http://webdiis.unizar.es/~spd/ \
finger://daphne.cps.unizar.es/spd \ Timeo Danaos et dona ferentes
ftp://ivo.cps.unizar.es/pub/ \ (Virgilio)
feo@soy.madre
2006-01-21 00:02:17 UTC
Permalink
gracias a todos !!!
Post by ***@soy.madre
Estamos configurando nfs en los ordenadores para que puedan compartir
directorios entre ellos, el siguiente paso será samba, pero primero quiero
que conozcan nfs.
Debido al puto iptables no pueden conectarse unos a otros por que cierra
los puertos, una solucion es desactivar el servicio de iptables, pero es
una animalada que quiero evitar. El problema está en que parece ser que
nfs elige puertos aleatorios paa sus servicios y no se de que forma dejar
pasar nfs!. alguien puede echarme una mano?. Estamos currando con fedora
core 4, pero lo mejor seria una solución global ;)
gracias de antemano
Loading...