forum.opennet.ru - "NFS and IPFW" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NFS and IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NFS and IPFW"
Сообщение от Cyclone on 02-Июл-03, 13:18 (MSK)
Привет всем! Есть 2 машины, на одной FreeBSD-4.8-STABLE, на другой 5.1-RELEASE. Хочу поднять между ними NFS, 4.8 - сервер, 5.1 - клиент. На сервере прописал в /etc/rc.conf: nfs_server_enable="Yes" nfs_server_flags="-t -n 2 -h 192.168.0.1" nfs_reserved_port_only="Yes" mountd_flags="-r" portmap_enable="YES" portmap_flags="-h 192.168.0.1" в /etc/firewall.conf: # NFS add 19000 allow tcp from 192.168.0.11 to 192.168.0.1 2049 in via 192.168.0.1 add 19010 allow tcp from 192.168.0.1 2049 to 192.168.0.11 out via 192.168.0.1 add 19020 allow udp from 192.168.0.11 to 192.168.0.1 2049 in via 192.168.0.1 add 19030 allow udp from 192.168.0.1 2049 to 192.168.0.11 out via 192.168.0.1 add 19040 allow tcp from 192.168.0.11 to 192.168.0.1 111 in via 192.168.0.1 add 19050 allow tcp from 192.168.0.1 111 to 192.168.0.11 out via 192.168.0.1 add 19060 allow udp from 192.168.0.11 to 192.168.0.1 111 in via 192.168.0.1 add 19070 allow udp from 192.168.0.1 111 to 192.168.0.11 out via 192.168.0.1 на клиенте в /etc/rc.conf: nfs_client_enable="yes" nfs_reserved_port_only="yes" монтирование выполняю командой mount_nfs -T cyclone:/usr/ports/distfiles /usr/ports/distfiles Проблема: Если на сервере в правилах файрвола есть правило allow all from any to any то всё работает, если в конце правил стоит deny all from any to any то нихрена не работает. Смотрел в логах - клиент обращается на сервер с произвольного привелигерованного порта на произвольный привелигерованный порт. Как вылечить такое поведение (надо чтоб NFS работал по какому-то одному порту или диапазоне портов), или это нереально как и в случае с passive-ftp? Очень не хочется просто держать файрвол открытым.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

NFS and IPFW, lavr, 13:40 , 02-Июл-03, (1)
- NFS and IPFW, Cyclone, 15:36 , 02-Июл-03, (2)
  - NFS and IPFW, lavr, 16:27 , 02-Июл-03, (3)
    - NFS and IPFW, Nikolaev D., 16:35 , 02-Июл-03, (4)
      - NFS and IPFW, lavr, 16:42 , 02-Июл-03, (5)
        
        NFS and IPFW, Nikolaev D., 16:47 , 02-Июл-03, (6)
        
        NFS and IPFW, lavr, 17:37 , 02-Июл-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NFS and IPFW"

Сообщение от lavr on 02-Июл-03, 13:40  (MSK)

>Привет всем!
>
>Есть 2 машины, на одной FreeBSD-4.8-STABLE, на другой 5.1-RELEASE. Хочу поднять между
>ними NFS, 4.8 - сервер, 5.1 - клиент. На сервере прописал
>в /etc/rc.conf:
>nfs_server_enable="Yes"
>nfs_server_flags="-t -n 2 -h 192.168.0.1"
>nfs_reserved_port_only="Yes"
>mountd_flags="-r"
>portmap_enable="YES"
>portmap_flags="-h 192.168.0.1"
>
>в /etc/firewall.conf:
># NFS
>add 19000 allow tcp from 192.168.0.11 to 192.168.0.1 2049 in via 192.168.0.1
>
>add 19010 allow tcp from 192.168.0.1 2049 to 192.168.0.11 out via 192.168.0.1
>
>add 19020 allow udp from 192.168.0.11 to 192.168.0.1 2049 in via 192.168.0.1
>
>add 19030 allow udp from 192.168.0.1 2049 to 192.168.0.11 out via 192.168.0.1
>
>add 19040 allow tcp from 192.168.0.11 to 192.168.0.1 111 in via 192.168.0.1
>
>add 19050 allow tcp from 192.168.0.1 111 to 192.168.0.11 out via 192.168.0.1
>
>add 19060 allow udp from 192.168.0.11 to 192.168.0.1 111 in via 192.168.0.1
>
>add 19070 allow udp from 192.168.0.1 111 to 192.168.0.11 out via 192.168.0.1
>
>
>на клиенте в /etc/rc.conf:
>nfs_client_enable="yes"
>nfs_reserved_port_only="yes"
>
>монтирование выполняю командой mount_nfs -T cyclone:/usr/ports/distfiles /usr/ports/distfiles
>
>Проблема: Если на сервере в правилах файрвола есть правило allow all from
>any to any то всё работает, если в конце правил стоит
>deny all from any to any то нихрена не работает.
>
>Смотрел в логах - клиент обращается на сервер с произвольного привелигерованного порта
>на произвольный привелигерованный порт. Как вылечить такое поведение (надо чтоб NFS
>работал по какому-то одному порту или диапазоне портов), или это нереально
>как и в случае с passive-ftp? Очень не хочется просто держать
>файрвол открытым.
#--lavr ALLOW NFS
${fwcmd} add НОМЕР allow tcp from ${nfs_client} to ${nfsserver}  1110,2049
${fwcmd} add НОМЕР allow udp from ${nfs_client} to ${nfsserver}  1110,2049
только зачем это? /etc/exports не достаточно?
grep nfs /etc/services
man mountd
man nfsd
man mount_nfs (на предмет options)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NFS and IPFW"

Сообщение от Cyclone on 02-Июл-03, 15:36  (MSK)

>#--lavr ALLOW NFS
>${fwcmd} add НОМЕР allow tcp from ${nfs_client} to ${nfsserver}  1110,2049
>${fwcmd} add НОМЕР allow udp from ${nfs_client} to ${nfsserver}  1110,2049
>
Не работает такая конструкция всё равно. Обращение идёт всё равно на произвольный порт, когда на 9888, когда на 1004...
>только зачем это? /etc/exports не достаточно?
Не достаточно. Сеть не доверенная, машина не доверенная...
>grep nfs /etc/services
>man mountd
>man nfsd
Читал, там про решение ни слова
>man mount_nfs (на предмет options)
если монтировать с опцией -o port=1110 то сразу же падает с ошибкой

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "NFS and IPFW"

Сообщение от lavr on 02-Июл-03, 16:27  (MSK)

>
>>#--lavr ALLOW NFS
>>${fwcmd} add НОМЕР allow tcp from ${nfs_client} to ${nfsserver}  1110,2049
>>${fwcmd} add НОМЕР allow udp from ${nfs_client} to ${nfsserver}  1110,2049
>>
>
>Не работает такая конструкция всё равно. Обращение идёт всё равно на произвольный
>порт, когда на 9888, когда на 1004...
>
>>только зачем это? /etc/exports не достаточно?
>
>Не достаточно. Сеть не доверенная, машина не доверенная...
>
>>grep nfs /etc/services
>>man mountd
>>man nfsd
>
>Читал, там про решение ни слова
>
>>man mount_nfs (на предмет options)
>
>если монтировать с опцией -o port=1110 то сразу же падает с ошибкой
>
читай RFC по NFS
[unix1]~ > ipfw l | grep 1110
40500 allow tcp from 159.93.17.100 to 159.93.17.121 1110,2049
40500 allow tcp from 159.93.17.177 to 159.93.17.121 1110,2049
40500 allow tcp from 159.93.17.122 to 159.93.17.121 1110,2049
40500 allow tcp from 159.93.17.51 to 159.93.17.121 1110,2049
40500 allow tcp from 159.93.25.119 to 159.93.17.121 1110,2049
40500 allow tcp from 159.93.25.120 to 159.93.17.121 1110,2049
40500 allow udp from 159.93.25.119 to 159.93.17.121 1110,2049
40501 allow udp from 159.93.17.100 to 159.93.17.121 1110,2049
40501 allow udp from 159.93.17.177 to 159.93.17.121 1110,2049
40501 allow udp from 159.93.17.122 to 159.93.17.121 1110,2049
40501 allow udp from 159.93.17.51 to 159.93.17.121 1110,2049
40501 allow udp from 159.93.25.120 to 159.93.17.121 1110,2049
50500 deny tcp from any to 159.93.17.121 1110,2049
50500 deny tcp from any to 159.93.25.88 1110,2049
50500 deny tcp from any to 159.93.17.129 1110,2049
50501 deny udp from any to 159.93.17.121 1110,2049
50501 deny udp from any to 159.93.25.88 1110,2049
50501 deny udp from any to 159.93.17.129 1110,2049
[unix1]~ >
mammoth:~ > showmount -e unix1
Export list for unix1:
/pub/ftp/1                         vvm.jinr.dubna.su,l4jinr.jinr.dubna.su,ccpc4.jinr.dubna.su,pc1.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su
/pub/ftp/2                         vvm.jinr.dubna.su,l4jinr.jinr.dubna.su,ccpc4.jinr.dubna.su,pc1.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su
/pub/ftp/3                         vvm.jinr.dubna.su,l4jinr.jinr.dubna.su,ccpc4.jinr.dubna.su,pc1.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su
/pub/ftp/4                         vvm.jinr.dubna.su,ccpc4.jinr.dubna.su,mammoth.jinr.dubna.su
/pub/ftp/incoming/moviez           pc1.jinr.dubna.su,l4jinr.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su
/pub/ftp/incoming/moviez/incoming1 pc1.jinr.dubna.su,l4jinr.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su
/pub/ftp/incoming/moviez/incoming2 pc1.jinr.dubna.su,l4jinr.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su
mammoth:~ >
sunct2:/home/lavr> nslookup -q=a sunct2.jinr.ru.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    sunct2.jinr.ru
Address:  159.93.17.89
sunct2:/home/lavr> showmount -e unix1
showmount: unix1: RPC: Rpcbind failure - RPC: Timed out
sunct2:/home/lavr>


Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "NFS and IPFW"

Сообщение от Nikolaev D. on 02-Июл-03, 16:35  (MSK)

>/pub/ftp/incoming/moviez
А как бы до этой папочки добраться, по ftp например ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NFS and IPFW"

Сообщение от lavr on 02-Июл-03, 16:42  (MSK)

>
>>/pub/ftp/incoming/moviez
>А как бы до этой папочки добраться, по ftp например ?
адрес в "Email:" видишь? :-Q

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "NFS and IPFW"

Сообщение от Nikolaev D. on 02-Июл-03, 16:47  (MSK)

>адрес в "Email:" видишь? :-Q
по фтп не пускает :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "NFS and IPFW"

Сообщение от lavr on 02-Июл-03, 17:37  (MSK)

>>адрес в "Email:" видишь? :-Q
>
>по фтп не пускает :(
дык ежику понятно, я ему про адрес, он мне про ftp, кто ж такие весчи
на форуме выясняет, "крови моей хочешь"? :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NFS and IPFW"
Сообщение от lavr on 02-Июл-03, 13:40 (MSK)
>Привет всем! > >Есть 2 машины, на одной FreeBSD-4.8-STABLE, на другой 5.1-RELEASE. Хочу поднять между >ними NFS, 4.8 - сервер, 5.1 - клиент. На сервере прописал >в /etc/rc.conf: >nfs_server_enable="Yes" >nfs_server_flags="-t -n 2 -h 192.168.0.1" >nfs_reserved_port_only="Yes" >mountd_flags="-r" >portmap_enable="YES" >portmap_flags="-h 192.168.0.1" > >в /etc/firewall.conf: ># NFS >add 19000 allow tcp from 192.168.0.11 to 192.168.0.1 2049 in via 192.168.0.1 > >add 19010 allow tcp from 192.168.0.1 2049 to 192.168.0.11 out via 192.168.0.1 > >add 19020 allow udp from 192.168.0.11 to 192.168.0.1 2049 in via 192.168.0.1 > >add 19030 allow udp from 192.168.0.1 2049 to 192.168.0.11 out via 192.168.0.1 > >add 19040 allow tcp from 192.168.0.11 to 192.168.0.1 111 in via 192.168.0.1 > >add 19050 allow tcp from 192.168.0.1 111 to 192.168.0.11 out via 192.168.0.1 > >add 19060 allow udp from 192.168.0.11 to 192.168.0.1 111 in via 192.168.0.1 > >add 19070 allow udp from 192.168.0.1 111 to 192.168.0.11 out via 192.168.0.1 > > >на клиенте в /etc/rc.conf: >nfs_client_enable="yes" >nfs_reserved_port_only="yes" > >монтирование выполняю командой mount_nfs -T cyclone:/usr/ports/distfiles /usr/ports/distfiles > >Проблема: Если на сервере в правилах файрвола есть правило allow all from >any to any то всё работает, если в конце правил стоит >deny all from any to any то нихрена не работает. > >Смотрел в логах - клиент обращается на сервер с произвольного привелигерованного порта >на произвольный привелигерованный порт. Как вылечить такое поведение (надо чтоб NFS >работал по какому-то одному порту или диапазоне портов), или это нереально >как и в случае с passive-ftp? Очень не хочется просто держать >файрвол открытым. #--lavr ALLOW NFS ${fwcmd} add НОМЕР allow tcp from ${nfs_client} to ${nfsserver} 1110,2049 ${fwcmd} add НОМЕР allow udp from ${nfs_client} to ${nfsserver} 1110,2049 только зачем это? /etc/exports не достаточно? grep nfs /etc/services man mountd man nfsd man mount_nfs (на предмет options)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "NFS and IPFW"
	Сообщение от Cyclone on 02-Июл-03, 15:36 (MSK)
	>#--lavr ALLOW NFS >${fwcmd} add НОМЕР allow tcp from ${nfs_client} to ${nfsserver} 1110,2049 >${fwcmd} add НОМЕР allow udp from ${nfs_client} to ${nfsserver} 1110,2049 > Не работает такая конструкция всё равно. Обращение идёт всё равно на произвольный порт, когда на 9888, когда на 1004... >только зачем это? /etc/exports не достаточно? Не достаточно. Сеть не доверенная, машина не доверенная... >grep nfs /etc/services >man mountd >man nfsd Читал, там про решение ни слова >man mount_nfs (на предмет options) если монтировать с опцией -o port=1110 то сразу же падает с ошибкой
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "NFS and IPFW"
	Сообщение от lavr on 02-Июл-03, 16:27 (MSK)
	> >>#--lavr ALLOW NFS >>${fwcmd} add НОМЕР allow tcp from ${nfs_client} to ${nfsserver} 1110,2049 >>${fwcmd} add НОМЕР allow udp from ${nfs_client} to ${nfsserver} 1110,2049 >> > >Не работает такая конструкция всё равно. Обращение идёт всё равно на произвольный >порт, когда на 9888, когда на 1004... > >>только зачем это? /etc/exports не достаточно? > >Не достаточно. Сеть не доверенная, машина не доверенная... > >>grep nfs /etc/services >>man mountd >>man nfsd > >Читал, там про решение ни слова > >>man mount_nfs (на предмет options) > >если монтировать с опцией -o port=1110 то сразу же падает с ошибкой > читай RFC по NFS [unix1]~ > ipfw l \| grep 1110 40500 allow tcp from 159.93.17.100 to 159.93.17.121 1110,2049 40500 allow tcp from 159.93.17.177 to 159.93.17.121 1110,2049 40500 allow tcp from 159.93.17.122 to 159.93.17.121 1110,2049 40500 allow tcp from 159.93.17.51 to 159.93.17.121 1110,2049 40500 allow tcp from 159.93.25.119 to 159.93.17.121 1110,2049 40500 allow tcp from 159.93.25.120 to 159.93.17.121 1110,2049 40500 allow udp from 159.93.25.119 to 159.93.17.121 1110,2049 40501 allow udp from 159.93.17.100 to 159.93.17.121 1110,2049 40501 allow udp from 159.93.17.177 to 159.93.17.121 1110,2049 40501 allow udp from 159.93.17.122 to 159.93.17.121 1110,2049 40501 allow udp from 159.93.17.51 to 159.93.17.121 1110,2049 40501 allow udp from 159.93.25.120 to 159.93.17.121 1110,2049 50500 deny tcp from any to 159.93.17.121 1110,2049 50500 deny tcp from any to 159.93.25.88 1110,2049 50500 deny tcp from any to 159.93.17.129 1110,2049 50501 deny udp from any to 159.93.17.121 1110,2049 50501 deny udp from any to 159.93.25.88 1110,2049 50501 deny udp from any to 159.93.17.129 1110,2049 [unix1]~ > mammoth:~ > showmount -e unix1 Export list for unix1: /pub/ftp/1 vvm.jinr.dubna.su,l4jinr.jinr.dubna.su,ccpc4.jinr.dubna.su,pc1.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su /pub/ftp/2 vvm.jinr.dubna.su,l4jinr.jinr.dubna.su,ccpc4.jinr.dubna.su,pc1.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su /pub/ftp/3 vvm.jinr.dubna.su,l4jinr.jinr.dubna.su,ccpc4.jinr.dubna.su,pc1.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su /pub/ftp/4 vvm.jinr.dubna.su,ccpc4.jinr.dubna.su,mammoth.jinr.dubna.su /pub/ftp/incoming/moviez pc1.jinr.dubna.su,l4jinr.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su /pub/ftp/incoming/moviez/incoming1 pc1.jinr.dubna.su,l4jinr.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su /pub/ftp/incoming/moviez/incoming2 pc1.jinr.dubna.su,l4jinr.jinr.dubna.su,wnct177.jinr.dubna.su,mammoth.jinr.dubna.su mammoth:~ > sunct2:/home/lavr> nslookup -q=a sunct2.jinr.ru. Server: sunct0.jinr.ru Address: 159.93.17.130 Name: sunct2.jinr.ru Address: 159.93.17.89 sunct2:/home/lavr> showmount -e unix1 showmount: unix1: RPC: Rpcbind failure - RPC: Timed out sunct2:/home/lavr>
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "NFS and IPFW"
	Сообщение от Nikolaev D. on 02-Июл-03, 16:35 (MSK)
	>/pub/ftp/incoming/moviez А как бы до этой папочки добраться, по ftp например ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "NFS and IPFW"
	Сообщение от lavr on 02-Июл-03, 16:42 (MSK)
	> >>/pub/ftp/incoming/moviez >А как бы до этой папочки добраться, по ftp например ? адрес в "Email:" видишь? :-Q
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "NFS and IPFW"
	Сообщение от Nikolaev D. on 02-Июл-03, 16:47 (MSK)
	>адрес в "Email:" видишь? :-Q по фтп не пускает :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "NFS and IPFW"
	Сообщение от lavr on 02-Июл-03, 17:37 (MSK)
	>>адрес в "Email:" видишь? :-Q > >по фтп не пускает :( дык ежику понятно, я ему про адрес, он мне про ftp, кто ж такие весчи на форуме выясняет, "крови моей хочешь"? :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх