Firewall blockt NFS

Post Reply
Message
Author
ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Firewall blockt NFS

#1 Post by ytimk »

Moin moin,

Zunächst: Ich habe keine große Ahnung von Firewalls, also bitte nicht lachen, wenn ich irgendwas von Grundauf falsch gemacht habe. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Naja, ich hab' auf meinem Notebook eine Firewall mit iptables eingerichtet. Die Policy für INPUT steht auf drop, danach habe ich einzelne Ports, die mir wichtig oder Sinnvoll erschienen wieder geöffnet. OUTPUT steht auf ACCEPT. Soweit fuppt das auch ganz gut, nur die NFS-Freigabe von meinem Server lässt sich nicht mehr mounten.

Die Ports für NFS (2049) und Portmapper (111) sind offen. Beim Googlen habe ich sonst keine Ports mehr gefunden, die geöffnet werden müssen. Hab ich da was übersehen? Muss ich noch weitere Ports öffnen? Wenn ja: Welche?

Wäre schön, wenn mir jemand helfe könnte.

Joersch

Re: Firewall blockt NFS

#2 Post by Joersch »

ich gehe mal davon aus, das du von deinem server zu deinem notebook das nfs mounten willst
der server ist der nfsserver und das notebook ist der nfs-client ?
dann macht es wenig sinn, auf den notebook die SERVER-ports freizugeben <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
versuche mal aud dem notebook:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
dh. inputs, die zu einer bestehenden verbindung gehoeren, werden erlaubt
da du von deinem notebook die verbindung zu deinem (nfs)server anforderst, musst du auch die verbindung
vom (nfs)server zum notebook erlauben und zwar zu einem port, den du nicht kennst

Gruss

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Firewall blockt NFS

#3 Post by ytimk »

>ich gehe mal davon aus, das du von deinem server zu deinem notebook das nfs mounten willst
>der server ist der nfsserver und das notebook ist der nfs-client ?

Ja, das stimmt so.

>dann macht es wenig sinn, auf den notebook die SERVER-ports freizugeben

da hab' ich mich vielleicht ein wenig blöd ausgedrückt, ich habe die source-ports freigegeben, also Verbindungen erlaubt, die von den entsprechenden Ports kommen.

>versuche mal aud dem notebook:
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Das funktioniert leider nicht so richtig <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">, als Antwort bekomme ich:
iptables: no chain/target/match by that name (?!)

>dh. inputs, die zu einer bestehenden verbindung gehoeren, werden erlaubt
Heisst das, die ganzen Freigaben von (source-)Ports hätte ich mir sparen können, eine Zeile genügt? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Im Moment habe ich mir so ausgeholfen, dass alle Pakete vom Server akzeptiert werden....

Joersch

Re: Firewall blockt NFS

#4 Post by Joersch »

>>dann macht es wenig sinn, auf den notebook die SERVER-ports freizugeben

>da hab' ich mich vielleicht ein wenig blöd ausgedrückt, ich habe die source-ports freigegeben, also Verbindungen erlaubt, die von den >entsprechenden Ports kommen.
ja, da habe ich dich missverstanden, also so mit ... --sport 111 ?

>>versuche mal aud dem notebook:
>>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

>Das funktioniert leider nicht so richtig , als Antwort bekomme ich:
>iptables: no chain/target/match by that name (?!)
was ist denn das fuer ein distri, das sollte aber gehen !
kannst du mal den output von "lsmod" posten ? da sollte ein "ip_conntrack" und ein "ip_tables" stehen
als modul sollten irgendwo (/lib/modules/<kernel-version>/kernel/net/ipv4/netfilter/ bei suse) die entsprechenden
ipt_*.o module vorhanden sein


>>dh. inputs, die zu einer bestehenden verbindung gehoeren, werden erlaubt
>Heisst das, die ganzen Freigaben von (source-)Ports hätte ich mir sparen können, eine Zeile genügt?
jupp <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
ganz witzig fuer clients: du erlaubst allen output, kannst also alle dienste anfordern und erlaubst input nur dann
wenn der input zu einer bestehenden/angeforderten verbindung gehoert (wer kennt schon alle server-ports ?)
(ehe mich hier jetzt einer erschlaegt: es geht nur um die technische umsetztung, nicht im eine FW-strategie)

>Im Moment habe ich mir so ausgeholfen, dass alle Pakete vom Server akzeptiert werden....>>
geht natuerlich auch ...

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Firewall blockt NFS

#5 Post by ytimk »

Das ist RedHat 7.2 mit einem (selbstgebackenem) 2.4.18-er Kernel. Kann also gut sein, dass ich da (unwissender Weise) was nicht vollständig eingebunden habe... Das muss ich aber, wenn ich Zeit hab' ohnehin mal neu machen, da ich viel zu wenig Module verwendet habe. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Also unter .../ipv4/ steht:

ip-conntrack_ftp.o
ip_nat_ftp.o
ipt_MASQUERADE.o
ipt_REDIRECT.o
ip_conntrack_irc.o
ip_nat_irc.o
ipt_MIRROR.o
ipt_REJECT.o

lsmod gibt aus:

Module Size Used by Tainted: PF
vmnet 22080 2
parport_pc 18724 0
parport 36256 0 [parport_pc]
vmmon 22452 0 (unused)
appletalk 23948 0 (autoclean)
serial 48384 1 (autoclean)

>(ehe mich hier jetzt einer erschlaegt: es geht nur um die technische umsetztung, nicht im eine FW-strategie)

Wieso? ist an der Stragie was schlecht, für einen reinen Client?

ratte

Re: Firewall blockt NFS

#6 Post by ratte »

ist zwar ipchains, hilft vielleicht ja trotzdem:

router ip 192.168.0.x
clients ip 192.168.0.x

policies auf router alle auf DENY.
masquerading zwecks surfen aktiviert.

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
# nfs input rules
# rpc.mountd, I forced rpc.mountd to port 900 with -P 900 at /etc/rc.d/rc.inet2
ipchains -A input -p tcp --dport 900 -j ACCEPT
ipchains -A input -p tcp --dport 900 -j ACCEPT
# Accept all already opened TCP sessions
ipchains -A input -p TCP ! --syn -j ACCEPT
# Allow portmapper from the Internal IPS
ipchains -A input -p tcp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A input -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A input -p tcp -s 192.168.0.0/24 --dport 900 -j ACCEPT
ipchains -A input -p udp -s 192.168.0.0/24 --dport 900 -j ACCEPT
ipchains -A input -p tcp -s 192.168.0.0/24 --dport 2049 -j ACCEPT
ipchains -A input -p udp -s 192.168.0.0/24 --dport 2049 -j ACCEPT

#nfs output rules
# rpc.mountd, I forced rpc.mountd to port 900 with -P 900 at /etc/rc.d/rc.inet2
ipchains -A output -p tcp --dport 514:1023 -j ACCEPT
ipchains -A output -p tcp --dport 514:1023 -j ACCEPT
# Accept all already opened TCP sessions
ipchains -A output -p TCP ! --syn -j ACCEPT
# Allow portmapper from the Internal IPS
ipchains -A output -p tcp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A output -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A output -p tcp -s 192.168.0.0/24 --dport 514:1023 -j ACCEPT
ipchains -A output -p udp -s 192.168.0.0/24 --dport 514:1023 -j ACCEPT
ipchains -A output -p tcp -s 192.168.0.0/24 --dport 2049 -j ACCEPT
ipchains -A output -p udp -s 192.168.0.0/24 --dport 2049 -j ACCEPT
</font><hr></pre></blockquote>

ratte

Joersch

Re: Firewall blockt NFS

#7 Post by Joersch »

du brachst auf jeden fall noch ipt_state

das mit dem erschlagen : <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
man prueft da noch so einige sachen ab wie zb bei ratte beschrieben ! --syn
das ist auf jeden fall sinnvoll bei servern mit standleitung und eigener ip
bei einem client zum surfen wuerde ich das nicht soo eng sehen
man kann da mit iptables richtig gute sachen machen: -m string --string root.exe
und schon ist man zb das ganze zeug von nimda,codered und co los
wie das mit ipchain geht ... ??? frag ratte <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
kompiliere dir mal einen neuen kernel mit vielen modulen und dann sehen wir weiter

Gruss

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Firewall blockt NFS

#8 Post by ytimk »

Hi,
Soo, erstmal danke euch beiden!

Der Kernel ist neu kompiliert und diese state-Geschichte fuppt auch bestens! <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Wenn ich die Klausuren fertig geschrieben habe, werde ich erstmal googlen und die ganze Sache verfeinern.
...und dann geht's weiter mit Server und Router.... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Joersch

Re: Firewall blockt NFS

#9 Post by Joersch »

hi

freut uns geholfen zu haben <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Post Reply