Iptables - NFS szűrése

Hálózatok egyéb

Üdv,

Segítséget kérnék- Iptables szabályomba be kell tennem az NFS-t, mivel helyi mappákat is el kell érnem.

Összesen két gépen kell csak hogy menjen az NFS. Az 'A' gépen kell írnia és olvasnia egy mappát a 'B' gépnek.

Megfelelő az alábbi iptables beállítás biztonságilag? 


'A' gépen:

iptables -A INPUT  -p tcp --dport 2049 --source IP_CIM_B_GEP -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 --source IP_CIM_B_GEP -j ACCEPT

'B' gépen:

iptables -A INPUT  -p tcp --dport 2049 --source IP_CIM_A_GEP -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 --source IP_CIM_A_GEP -j ACCEPT

Nem világos még, hogy a '--destination' kapcsolót is érdemes lenne mindkettőnél beállítanom a másik gépre?
Igazából mindig mindegyik gép forrás és cél is, nem? Mert ugye mindig olvasnak és írnak is, pontosabban csak a 'B' gép érti el az 'A' gép mappáját.

Előre is köszi.

  • 1134 megtekintés

( kbela | 2008. 01. 23., sze – 13:48 )

Az 'A' gepen az OUTPUT lancban nem lehet --source IP_CIM_B_GEP, es forditva.

( rubasov | 2008. 01. 23., sze – 13:48 )

Egy mukodo NFS-nek van jo par osszetevoje, serveroldalon (tehat az 'A' gepen) valami ilyesmi kell:

(A file-nevek Debian alatt azok a config file-ok, ahol az adott portszamot be lehet allitani. A lockd altal hasznalt port ilyen beallitasat valamikor a 2.6-os kernelszeriaban vezettek be, elotte boot parameterekkel lehetett. Fejbol nem tudom biztosan, hogy az alabbiak mindegyike tenyleg tcp-t hasznal-e, ezt erdemes leellenorizni.)

# NFS-hez nem art elfogadni a fragmenteket
iptables -A INPUT -f -j ACCEPT
# portmap
iptables -A INPUT -p tcp --dport sunrpc -s $B -d $A -j ACCEPT
# nfsd
iptables -A INPUT -p tcp --dport 2049 -s $B -d $A -j ACCEPT
# statd: /etc/default/nfs-common
iptables -A INPUT -p tcp --dport 32765 -s $B -d $A -j ACCEPT
# rquotad: /etc/default/quota
iptables -A INPUT -p tcp --dport 32766 -s $B -d $A -j ACCEPT
# mountd: /etc/default/nfs-kernel-server
iptables -A INPUT -p tcp --dport 32767 -s $B -d $A -j ACCEPT
# lockd:
# echo 32768 > /proc/sys/fs/nfs/nlm_tcpport
# echo 32768 > /proc/sys/fs/nfs/nlm_udpport
iptables -A INPUT -p tcp --dport 32768 -s $B -d $A -j ACCEPT

udv.

( log69 | 2008. 01. 23., sze – 14:58 )

Köszi a segítségeket. Úgylátom az NFS engedélyezése nem lesz olyan egyszerű.