Michael Raab wrote:
* am 07. Jan. 2003 postete Patrick Klaus:
ich möchte im internen Netzwerk auf meinem Server eine Firewall einrichten weil ich auf den Router keine Administrationsrechte habe.
[...]
Leider weiss ich nicht was für Ports offen sein müssen um den Server als NIS-Client sowie NFS-Server und Client betreiben zu müssen.
Wo schaue ich am besten noch, oder wie bekomme ich das raus. Scheinbar werden ja nicht immer die gleichen Ports benutzt.
Die Antwort liegt bei Dir im Verzeichnis /etc ;)
[mraab@brokenwindow mraab]$ cat /etc/services | grep nfs nfs 2049/tcp nfsd nfs 2049/udp nfsd
Das reicht AFAIK nicht. Zumindest der portmapper spielt da auch eine Rolle. Der läuft normalerweise auf 111 udp/tcp und nimmt dann fröhlich ports hinzu :(. Ergo: Mit ipchains ist dem Ganzen wohl nur schwerlich beizukommen :(. Bei iptables könnte das connection tracking helfen. /IMHO/ Das erste Paket sollte auf 111 oder 2049 aufschlagen (zur Not tcpdump). Der portmapper sendet dann einen freien port an den client und ab da läuft der Verkehr dann wohl auf dem neuen port. Ich weiss leider nicht ab wann das connection tracking die Verbindung als "established, related" ansieht und ob es den handshake dazu braucht. Auch weiss ich nicht ob dieser Handshake bei nfs/nis auf den "offizilen" ports (111/2049) oder bereits auf den neuen port durchgeführt wird, aber einen Versuch ist es wert. Im allgemeinen ist nfs/nis über unsichere Netzte aber bestimmt nicht das Wahre. /IMHO/ -- - maik