NFS: Keine Berechtigung als root.....

[pablovschby]

hallo...wie aufm bild (http://www.pablovschby.ch/nfs.png) habe ich das konfiguriert.....alle dienste wiedergestartet...alles gemacht, wies hier (http://europe.redhat.com/documentation/ ... xport.php3) steht und dann das nfs-share mounten wollen (vom gleichen pc aus) nach dieser (http://europe.redhat.com/documentation/ ... mount.php3) anleitung.....:

[root@master1 root]# mount master1:/home /misc/home1
mount: master1:/home failed, reason given by server: Keine Berechtigung

das verzeichniss /misc/home existiert selbstverständlich...was habe ich falsch gemacht...? das ist ja eigentlich eine sehr sichere beschreibung, die da bei redhat ist...

gruss&danke
pablo

[nano]

Was steht denn in der Datei /etc/exports drin? (das ist die Konfigurationsdatei für die NFS-shares)

Gruß,
nano

[pablovschby]

das steht da drin:

/home/ *.*.*.*(ro,async)


ist doch richtig so, oder...?

gruss&merci
pablo

[pablovschby]

also...ich hab folgendes gemacht:

bei "service nfs start" 4mal "OK"...! meine /etc/exports:

/home/ $IP_des_Clients(ro,sync)

so....nun geh ich an den linux-client mit der $IP_des_Clients und starte alle 4 NFS-Dienst ..... wieder 4mal "OK".......so...dann gebe ich am client ein:
mount $IP_des_servers:/home /mnt/mpt_tmp
.......................wobei natürlich der ordner /mnt/mpt_tmp vorher erstellt wurde......tja...alles richtig gemacht, meiner Meinung nach....oder doch nicht...was mach ich falsch..?

gruss
pablo

[pablovschby]

der meint immer, dass der rpc-dienst net empfangen kann:
mount bla.bla.bla.bla:/home /mnt/mpt_tmp
^[OAmount: RPC: Fehler des Portmappers - RPC: Kann nicht empfangen
gruss
pablo

[nano]

Der Inhalt deiner /etc/exports sieht eigentlich ok aus.

Läuft denn der Portmapper? (ps -e | grep portmap)

Gruß,
nano

[pablovschby]

ja, der portmapper läuft selbstverständlich....also ich habs rausgeefunden was es ist......NFS LÄUFT ALSO....aber:

---
was für ports, ausser jene unten aufgeführte, muss ich noch öffnen:

www ssh 20 21 37 119 137 138 139 443 631 2049 10000 portmapper (111) mountd (1319) nlockmgr (1320)

dazu noch: man beachte, all diese ports habe ich für tcp UND udp freigeschaltet.....dies ist meine /etc/sysconfig/iptables:
----

------
# Firewall configuration written by lokkit

# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1319 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 111 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 1320 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 37 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 119 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 137 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 138 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 631 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 443 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 138 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 139 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 119 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 137 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 37 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1319 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 1320 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 111 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.60 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.162 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.17.61 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 62.2.24.158 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT
----------
kennt ihr da noch irgendwelche andere ports, die man freischalten muss..? ist schon krass, das sind ja etwa 20ports für einen dienst.....(?)


gruss&danke
pablo

[nano]

Soweit ich weiß verträgt sich portmap und firewall nicht wirklich. Portmap arbeitet nämlich nicht über einen festen port. (Das ist zumindest mein Kenntnisstand)
Kannst du nicht für deine lokalen Rechner den Zugriff generell freigeben?

Gruß,
nano

[pablovschby]

ja, super....dann müsste ich entweder wissen, wie ich auf dem router eine firewall gegen aussen (und eben net gegen innen) einrichte...oder ich müsste die firewall meines routers abstellen, was sehr schlecht ist.,...

grus&danke
pablo

p.s.: wieso ist denn das so mit portmapper...? ich meine, der kann doch nicht irgendwelche ports mal schnell nehmen und jedesmal wieder andere......komische sache

[nano]

Das mit der Firewall sollte eigentlich kein Problem sein.

Welches interface ist denn mit deinem lokalen Netzwerk verbunden?
Falls es zB. eth0 ist sollte ein Eintrag wie
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-OUTPUT -i eth0 -j ACCEPT

genügen. Ich kenne mich jetzt nicht mit den Tools von RedHat aus (RH-Lokkit-0-50-INPUT/OUTPUT sagt mir nix) aber so könnte es gehen.

Bei Problemen mit der Firewall ist es übrigens immer hilfreich, wenn man die geblockten Pakete loggen läßt. Dann kannst du in den Logfiles nachsehen, was hakt.

Gruß,
nano

[pablovschby]

wow....danke für die hilfe, .....nano...aber:

-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-OUTPUT -i eth0 -j ACCEPT

ok.....diese 2linien heissen: pakete auf allen ports erlauben auf eth0, die rein. wie auch rauskommen, oder...? aber mit was sagst du "alle ports".(falls du's weisst, ich selber = iptables-anfänger)..?

gruss&danke
pablo

p.s.: meine Meinung zu Diensten, die wie portmap WWIILLKKÜÜRRLLIICCHHEE port-nummern nehmen und keine port-ranges oder feste ports:

über den sinn dieser sache kann man sich schlecht streiten, es gibt keinen............................ denn letztendlich macht diese tatsache ja den portmapper absolut nutzlos fürs i-net........und für standleitungen, die ausm haus gehen,......

dass es sowas heute überhaupt noch gibt, ist eigentlich daneben

[pablovschby]

nfs und portmap lassen sich auch mit dem parameter "-p" starten, sie benützen dann feste ports.........weiss da ev. jemand, wie das anzuwenden ist...?

gruss&danke
pablo

[nano]

Hi pablo

> aber mit was sagst du "alle ports"
Einfach indem keine speziellen ports spezifiziert werden. Ich bin jetzt auch kein iptables-Experte (mein Server läuft noch mit nem 2.2er Kernel), aber zumindest geht das bei ipchains so (Vorläufer von iptables)

> nfs und portmap lassen sich auch mit dem parameter "-p" starten, sie benützen dann feste ports.........weiss da ev. jemand, wie das anzuwenden ist...?
Das müsste man dann wohl in dem entsprechenden init-Skript für den Dienst so angeben.

Ich weiß jetzt nicht wie genau das RedHat aussieht, aber bei mir (debian) würde ich folgendes machen:

In der Datei /etc/init.d/portmap

#!/bin/sh
#
# start/stop portmap daemon.

test -f /sbin/portmap || exit 0

case "$1" in
start)
echo -n "Starting portmap daemon:"
echo -n " portmap"
# start-stop-daemon --start --quiet --exec /sbin/portmap
# ersetzten durch
start-stop-daemon --start --quiet --exec /sbin/portmap -p <portnumber>
echo "."

(...)

dabei ist <portnumber> durch die Portnumber zu ersetzten (ach was!)

Laut 'man portmap' hat portmap bei mir diese Option allerdings nicht. Vielleicht ist das eine RedHat-Spezialität, oder man muß das ganz anders machen.
nfsd hat die Option, aber das Problem ist wie gesagt der Portmapper.

>denn letztendlich macht diese tatsache ja den portmapper absolut nutzlos fürs i-net........und für standleitungen, die ausm haus gehen
Hm - dafür ist das ganze eigentlich auch nicht ausgelegt. NFS ist halt schon ziemlich alt.

Funktioniert die Sache denn, wenn Du intern alles freigibst?

Gruß,
nano

[pablovschby]

----
Hm - dafür ist das ganze eigentlich auch nicht ausgelegt. NFS ist halt schon ziemlich alt.
----
ja, ...und die heutigen alternativen...? da gibts ja nix ausser sftp (und da können keine untervezeichnisse kopiert werden, also nich brauchbar...).........uund samba, oder...? kenn ich da was net..(sicher kennich was net, aber etwas allg.bekanntes...)?

----
Funktioniert die Sache denn, wenn Du intern alles freigibst?
----
ja, die sache funzt ohne iptables...



hab das noch gefunden:
http://www.tldp.org/HOWTO/NFS-HOWTO/sec ... #FIREWALLS

laut dieser aussage von redhat...müsste portmap und noch en dienst,. feste ports benützen...hier:

---
ome of the daemons involved in sharing data via nfs are already bound to a port. portmap is always on port 111 tcp and udp. nfsd is always on port 2049 TCP and UDP (however, as of kernel 2.4.17, NFS over TCP is considered experimental and is not for use on production machines).

The other daemons, statd, mountd, lockd, and rquotad, will normally move around to the first available port they are informed of by the portmapper
----



so....dann hab ich das in das file /etc/sysconfig/nfs eingetragen:

code:
-
daemon rpc.statd -p 666 -o 670 $RPCNFSDCOUNT
daemon rpc.mountd -p 667 -o671 $RPCNFSDCOUNT
daemon rpc.lockd -p 668 -o 672 $RPCNFSDCOUNT
daemon rpc.rquotad -p 669 -o 673 $RPCNFSDCOUNT
-

-p definiert den ausgangsport.....-o den listening-port


aber es funzt net....obwohl das einer meinte....da mir rpcinfo das sagt:
---
[root@linuxserver1 etc]# rpcinfo -p localhost
Program Vers Proto Port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 32770 nlockmgr
100021 3 udp 32770 nlockmgr
100021 4 udp 32770 nlockmgr
100011 1 udp 934 rquotad
100011 2 udp 934 rquotad
100011 1 tcp 937 rquotad
100011 2 tcp 937 rquotad
100005 1 udp 32771 mountd
100005 1 tcp 32888 mountd
100005 2 udp 32771 mountd
100005 2 tcp 32888 mountd
100005 3 udp 32771 mountd
100005 3 tcp 32888 mountd
[root@linuxserver1 etc]#
----

ok..dann tüftel ich halt mal noch weiter...*verzweifel*

merci&gruss
pablo


-

[unke]

In Deiner /etc/exports muß no_root_sqash stehen, ansonsten wird der "remote" root umgemapped.
also:

/home 1.2.3.4/255.0.0.0(ro,sync,no_root_squash)

Mehr dazu unter nfs.sourceforge.net