Tach Zielgruppe,
um clients an dem internen Interface unseres Servers mit nfs bedienen zu können, habe ich u.a. folgende iptables Regeln:
# stehende und daraus resultierende Verbindungen zulassen -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
# tcp dienste -A INPUT -s 192.168.16.0/255.255.255.0 -i eth1 -p tcp \ -m state --state NEW -m multiport \ --dports ssh,www,sunrpc,netbios-ns,netbios-dgm,netbios-ssn -j ACCEPT
# udp dienste -A INPUT -s 192.168.16.0/255.255.255.0 -i eth1 -p udp \ -m state --state NEW -m multiport \ --dports netbios-ns,netbios-dgm,sunrpc,2049 -j ACCEPT
Nun kann ich auch von einem nfsclient mit rpcinfo -p $SERVER sehen, daß alle rpc Dienste da sind. Trotzdem sagt der client rpc unable to recieve oder so. Erlaube ich kurz mal pauschal den kompletten Zugriff auf das Interface, wo der nfs Server läuft, dann kann ich das share mounten. Nach dem mounten ist scheinbar die Verbindung ESTABLISHED und ich kann die Regel, die pauschal alles auf dem Interface erlaubt wieder entfernen und trotzdem funktierniert alles noch (wegen -m state ... -j ACCEPT).
Warum erkennt iptables denn nun nicht, daß aus der Verbindung zum Portmapper (111) die mountd Verbindung usw. hervorgehen? Gibt es da noch ein anderes modul, das den Trick macht?
Bis später,
andre