Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Firewall blockt NFS

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 28. Jun 2002 16:59   Titel: Firewall blockt NFS

Moin moin,

Zunächst: Ich habe keine große Ahnung von Firewalls, also bitte nicht lachen, wenn ich irgendwas von Grundauf falsch gemacht habe.

Naja, ich hab' auf meinem Notebook eine Firewall mit iptables eingerichtet. Die Policy für INPUT steht auf drop, danach habe ich einzelne Ports, die mir wichtig oder Sinnvoll erschienen wieder geöffnet. OUTPUT steht auf ACCEPT. Soweit fuppt das auch ganz gut, nur die NFS-Freigabe von meinem Server lässt sich nicht mehr mounten.

Die Ports für NFS (2049) und Portmapper (111) sind offen. Beim Googlen habe ich sonst keine Ports mehr gefunden, die geöffnet werden müssen. Hab ich da was übersehen? Muss ich noch weitere Ports öffnen? Wenn ja: Welche?

Wäre schön, wenn mir jemand helfe könnte.
 
Benutzer-Profile anzeigen Private Nachricht senden

Joersch
Gast





BeitragVerfasst am: 30. Jun 2002 12:05   Titel: Re: Firewall blockt NFS

ich gehe mal davon aus, das du von deinem server zu deinem notebook das nfs mounten willst
der server ist der nfsserver und das notebook ist der nfs-client ?
dann macht es wenig sinn, auf den notebook die SERVER-ports freizugeben
versuche mal aud dem notebook:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
dh. inputs, die zu einer bestehenden verbindung gehoeren, werden erlaubt
da du von deinem notebook die verbindung zu deinem (nfs)server anforderst, musst du auch die verbindung
vom (nfs)server zum notebook erlauben und zwar zu einem port, den du nicht kennst

Gruss
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 30. Jun 2002 14:29   Titel: Re: Firewall blockt NFS

>ich gehe mal davon aus, das du von deinem server zu deinem notebook das nfs mounten willst
>der server ist der nfsserver und das notebook ist der nfs-client ?

Ja, das stimmt so.

>dann macht es wenig sinn, auf den notebook die SERVER-ports freizugeben

da hab' ich mich vielleicht ein wenig blöd ausgedrückt, ich habe die source-ports freigegeben, also Verbindungen erlaubt, die von den entsprechenden Ports kommen.

>versuche mal aud dem notebook:
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Das funktioniert leider nicht so richtig , als Antwort bekomme ich:
iptables: no chain/target/match by that name (?!)

>dh. inputs, die zu einer bestehenden verbindung gehoeren, werden erlaubt
Heisst das, die ganzen Freigaben von (source-)Ports hätte ich mir sparen können, eine Zeile genügt?

Im Moment habe ich mir so ausgeholfen, dass alle Pakete vom Server akzeptiert werden....
 
Benutzer-Profile anzeigen Private Nachricht senden

Joersch
Gast





BeitragVerfasst am: 01. Jul 2002 18:19   Titel: Re: Firewall blockt NFS

>>dann macht es wenig sinn, auf den notebook die SERVER-ports freizugeben

>da hab' ich mich vielleicht ein wenig blöd ausgedrückt, ich habe die source-ports freigegeben, also Verbindungen erlaubt, die von den >entsprechenden Ports kommen.
ja, da habe ich dich missverstanden, also so mit ... --sport 111 ?

>>versuche mal aud dem notebook:
>>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

>Das funktioniert leider nicht so richtig , als Antwort bekomme ich:
>iptables: no chain/target/match by that name (?!)
was ist denn das fuer ein distri, das sollte aber gehen !
kannst du mal den output von "lsmod" posten ? da sollte ein "ip_conntrack" und ein "ip_tables" stehen
als modul sollten irgendwo (/lib/modules/<kernel-version>/kernel/net/ipv4/netfilter/ bei suse) die entsprechenden
ipt_*.o module vorhanden sein


>>dh. inputs, die zu einer bestehenden verbindung gehoeren, werden erlaubt
>Heisst das, die ganzen Freigaben von (source-)Ports hätte ich mir sparen können, eine Zeile genügt?
jupp
ganz witzig fuer clients: du erlaubst allen output, kannst also alle dienste anfordern und erlaubst input nur dann
wenn der input zu einer bestehenden/angeforderten verbindung gehoert (wer kennt schon alle server-ports ?)
(ehe mich hier jetzt einer erschlaegt: es geht nur um die technische umsetztung, nicht im eine FW-strategie)

>Im Moment habe ich mir so ausgeholfen, dass alle Pakete vom Server akzeptiert werden....>>
geht natuerlich auch ...
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 01. Jul 2002 18:52   Titel: Re: Firewall blockt NFS

Das ist RedHat 7.2 mit einem (selbstgebackenem) 2.4.18-er Kernel. Kann also gut sein, dass ich da (unwissender Weise) was nicht vollständig eingebunden habe... Das muss ich aber, wenn ich Zeit hab' ohnehin mal neu machen, da ich viel zu wenig Module verwendet habe.

Also unter .../ipv4/ steht:

ip-conntrack_ftp.o
ip_nat_ftp.o
ipt_MASQUERADE.o
ipt_REDIRECT.o
ip_conntrack_irc.o
ip_nat_irc.o
ipt_MIRROR.o
ipt_REJECT.o

lsmod gibt aus:

Module Size Used by Tainted: PF
vmnet 22080 2
parport_pc 18724 0
parport 36256 0 [parport_pc]
vmmon 22452 0 (unused)
appletalk 23948 0 (autoclean)
serial 48384 1 (autoclean)

>(ehe mich hier jetzt einer erschlaegt: es geht nur um die technische umsetztung, nicht im eine FW-strategie)

Wieso? ist an der Stragie was schlecht, für einen reinen Client?
 
Benutzer-Profile anzeigen Private Nachricht senden

ratte
Gast





BeitragVerfasst am: 02. Jul 2002 0:46   Titel: Re: Firewall blockt NFS

ist zwar ipchains, hilft vielleicht ja trotzdem:

router ip 192.168.0.x
clients ip 192.168.0.x

policies auf router alle auf DENY.
masquerading zwecks surfen aktiviert.

code:

# nfs input rules
# rpc.mountd, I forced rpc.mountd to port 900 with -P 900 at /etc/rc.d/rc.inet2
ipchains -A input -p tcp --dport 900 -j ACCEPT
ipchains -A input -p tcp --dport 900 -j ACCEPT
# Accept all already opened TCP sessions
ipchains -A input -p TCP ! --syn -j ACCEPT
# Allow portmapper from the Internal IPS
ipchains -A input -p tcp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A input -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A input -p tcp -s 192.168.0.0/24 --dport 900 -j ACCEPT
ipchains -A input -p udp -s 192.168.0.0/24 --dport 900 -j ACCEPT
ipchains -A input -p tcp -s 192.168.0.0/24 --dport 2049 -j ACCEPT
ipchains -A input -p udp -s 192.168.0.0/24 --dport 2049 -j ACCEPT

#nfs output rules
# rpc.mountd, I forced rpc.mountd to port 900 with -P 900 at /etc/rc.d/rc.inet2
ipchains -A output -p tcp --dport 514:1023 -j ACCEPT
ipchains -A output -p tcp --dport 514:1023 -j ACCEPT
# Accept all already opened TCP sessions
ipchains -A output -p TCP ! --syn -j ACCEPT
# Allow portmapper from the Internal IPS
ipchains -A output -p tcp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A output -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
ipchains -A output -p tcp -s 192.168.0.0/24 --dport 514:1023 -j ACCEPT
ipchains -A output -p udp -s 192.168.0.0/24 --dport 514:1023 -j ACCEPT
ipchains -A output -p tcp -s 192.168.0.0/24 --dport 2049 -j ACCEPT
ipchains -A output -p udp -s 192.168.0.0/24 --dport 2049 -j ACCEPT



ratte
 

Joersch
Gast





BeitragVerfasst am: 02. Jul 2002 21:02   Titel: Re: Firewall blockt NFS

du brachst auf jeden fall noch ipt_state

das mit dem erschlagen :
man prueft da noch so einige sachen ab wie zb bei ratte beschrieben ! --syn
das ist auf jeden fall sinnvoll bei servern mit standleitung und eigener ip
bei einem client zum surfen wuerde ich das nicht soo eng sehen
man kann da mit iptables richtig gute sachen machen: -m string --string root.exe
und schon ist man zb das ganze zeug von nimda,codered und co los
wie das mit ipchain geht ... ??? frag ratte
kompiliere dir mal einen neuen kernel mit vielen modulen und dann sehen wir weiter

Gruss
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 04. Jul 2002 18:17   Titel: Re: Firewall blockt NFS

Hi,
Soo, erstmal danke euch beiden!

Der Kernel ist neu kompiliert und diese state-Geschichte fuppt auch bestens!

Wenn ich die Klausuren fertig geschrieben habe, werde ich erstmal googlen und die ganze Sache verfeinern.
...und dann geht's weiter mit Server und Router....
 
Benutzer-Profile anzeigen Private Nachricht senden

Joersch
Gast





BeitragVerfasst am: 04. Jul 2002 19:41   Titel: Re: Firewall blockt NFS

hi

freut uns geholfen zu haben
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy