NFS a FIREWALL

Zdenek Marsik marsikz na quick.cz
Čtvrtek Červenec 3 16:40:20 CEST 2003


Zdravim,

pri povoleni vseho se mi bez problemu dari pripojit stanici pomoci NFS
na lokalni siti 192.168.1.0. Ale pri standardnim zakazani vseho a pak
povoleni jen toho, co potrebuji
 mi:  mount /sdilene   hlasi:
mount: RPC: casovac vyprsel
Pritom je NFS a SUNRPC (portmap) povoleno.
Je jasne, ze chyba je v nastaveni FIREWALLU, protoze kdyz vsechno
povolim, tak to jde bez problemu. Nevite nekdo co je potreba jeste
povolit?
Kdo to vi tak at mi posle kopii emailu poslaneho do konference, nemam
moznost cist konferu.

Diky

Zdenek

-------- soubor /root/fwdialup pro IPTABLES --------
#!/bin/sh
# *********************************************
# * LINUX RedHat 8.0                          *
# * vytvoreni FIREWALLu, vytacene pripojeni   *
# * eth0=interni sit. karta                   *
# * zakazano vsechno                          *
# *********************************************
#
clear
echo "Tvorba FIREWALLu"
echo "Soubor /etc/sysconfig/iptables musi existovat a byt prazdny!"
echo "Soubor /etc/sysctl.conf pro routovani nastavit
net.ipv4.ip_forward=1"
echo "------------------------------------------------------------"
# inicializace a vypnuti/zapnuti sluzeb
# IPCHAINS nemuze bezet zaroven s IPTABLES
/etc/init.d/iptables stop
#/etc/init.d/ipchains stop
#chkconfig --level 123456 ipchains off
chkconfig --level 235 iptables on

fw="/sbin/iptables"
# eth0=IP adresa napr.: 192.168.1.1
e0="eth0"

# vycisti pravidla, flush
$fw -F
$fw -X
$fw -t nat -F
$fw -t nat -X
$fw -t mangle -F
$fw -t mangle -X

# vsechno zakazat, OUTPUT povolit
$fw -P INPUT DROP
$fw -P FORWARD DROP
$fw -P OUTPUT ACCEPT
$fw -t nat -P PREROUTING ACCEPT
$fw -t nat -P POSTROUTING ACCEPT
$fw -t nat -P OUTPUT ACCEPT
$fw -t mangle -P PREROUTING ACCEPT
$fw -t mangle -P INPUT ACCEPT
$fw -t mangle -P FORWARD ACCEPT
$fw -t mangle -P OUTPUT ACCEPT
$fw -t mangle -P POSTROUTING ACCEPT

sleep 5

# povolit jen to co potrebuji
$fw -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$fw -A INPUT -i lo -j ACCEPT

# ICMP z privatnich adres
$fw -A INPUT -p ICMP -s 192.168.1.0/24 -i $e0 --icmp-type 0 -j ACCEPT
$fw -A INPUT -p ICMP -s 192.168.1.0/24 -i $e0 --icmp-type 3 -j ACCEPT
$fw -A INPUT -p ICMP -s 192.168.1.0/24 -i $e0 --icmp-type 8 -j ACCEPT
$fw -A INPUT -p ICMP -s 192.168.1.0/24 -i $e0 --icmp-type 11 -j ACCEPT

# SSH pro lokalni sit, priv. adresy 192.168.1.0/24 na portu 22
$fw -A INPUT -p tcp -s 192.168.1.0/24 --dport ssh -j ACCEPT
$fw -A FORWARD -p tcp -s 192.168.1.0/24 --dport ssh -j ACCEPT
$fw -A INPUT -p udp -s 192.168.1.0/24 --dport ssh -j ACCEPT
$fw -A FORWARD -p udp -s 192.168.1.0/24 --dport ssh -j ACCEPT

# NFS pro lokalni sit, priv. adresy 192.168.1.0/24 na portu 2049,
# sunrpc=portmapper na portu 111
$fw -A INPUT -p tcp -s 192.168.1.0/24 --dport nfs -j ACCEPT
$fw -A FORWARD -p tcp -s 192.168.1.0/24 --dport nfs -j ACCEPT
$fw -A INPUT -p udp -s 192.168.1.0/24 --dport nfs -j ACCEPT
$fw -A FORWARD -p udp -s 192.168.1.0/24 --dport nfs -j ACCEPT

$fw -A INPUT -p tcp -s 192.168.1.0/24 --dport sunrpc -j ACCEPT
$fw -A FORWARD -p tcp -s 192.168.1.0/24 --dport sunrpc -j ACCEPT
$fw -A INPUT -p udp -s 192.168.1.0/24 --dport sunrpc -j ACCEPT
$fw -A FORWARD -p udp -s 192.168.1.0/24 --dport sunrpc -j ACCEPT

#-------------------------------------------------
# SAVE and start IPTABLES
/etc/init.d/iptables save
/etc/init.d/iptables start

echo "--------------------------------"
echo "Vypis pravidel:"
/etc/init.d/iptables status|more



Další informace o konferenci Linux