Moin.
Das ist zwar etwas Offtopic, aber ich will endlich eine Lösung dafür haben. Und zwar folgendes: Der Server, eine Alpha mit NetBSD, stellt verschiedene Shares zur Verfügung per NFS. Nun soll so langsam aber sicher auch mal eine Firewall (IPFilter) drauf. Problem sind aber die wechselnden Portnummern der NFS-Geschichte (es nervt langsam). Wie zwinge ich den NFS-Server auf festgelegten Ports zu hantieren?
Die Möglichkeit von SNFS hatte ich mir schon mal angesehen, allerdings vor dem erheblichen Aufwand zurückgeschreckt.
MfG
Carsten
Hi,
* Carsten Friede [04-07-21 19:00:43 +0200] wrote:
Und zwar folgendes: Der Server, eine Alpha mit NetBSD, stellt verschiedene Shares zur Verfügung per NFS. Nun soll so langsam aber sicher auch mal eine Firewall (IPFilter) drauf. Problem sind aber die wechselnden Portnummern der NFS-Geschichte (es nervt langsam). Wie zwinge ich den NFS-Server auf festgelegten Ports zu hantieren?
Ich wollte das auf FreeBSD lösen, indem auf eine Gateway alle NFS-Dienste nur an lokale Interfaces hänge, was aber auch nicht völlig geht (experimentelle Patches existieren aber). Mein "Lösung": ein Perl-Skript, was aus dem Output von 'rpcinfo -p' die Ports ausliest und ipfw-Regeln erstellt. Als Notlösung geht das evtl. mit NetBSD.
bye, Rocco
On Thu, 22 Jul 2004, Rocco Rutte wrote:
Ich wollte das auf FreeBSD lösen, indem auf eine Gateway alle NFS-Dienste nur an lokale Interfaces hänge, was aber auch nicht völlig geht (experimentelle Patches existieren aber). Mein "Lösung": ein Perl-Skript, was aus dem Output von 'rpcinfo -p' die Ports ausliest und ipfw-Regeln erstellt. Als Notlösung geht das evtl. mit NetBSD.
Moin.
Ich habe herausgefunden, dass NetBSD scheinbar die Ports von sich aus festsetzt. Benutzt werden 111 und 2049 sowie 1020-1022. Ich habe das nach mehrmaligem Booten ueberprueft und dem scheint auch so zu sein. Damit waere diese Geschichte schonmal vom Tisch. Die Firewallregeln waren auch schnell erstellt. Was jetzt noch fehlt, ist eine richtige Authentifikation. Und solange OpenAFS oder NFS4 (mit Kerberos) noch nicht fuer diese Plattform verfuegbar sind, bleibt nur Authentifikation per SSL oder SSH. Ich habe auch was von VLAN gelesen, bin aber nicht so recht schlau daraus geworden. Nur nach MAC und IP zu authentifizieren, ist zu wenig.
So long,
Carsten
lug-dd@mailman.schlittermann.de
-
Carsten Friede -
Carsten Friede -
Rocco Rutte