Welche Ports für NFS und NIS freischalten ?
Hallo Leute, ich möchte im internen Netzwerk auf meinem Server eine Firewall einrichten weil ich auf den Router keine Administrationsrechte habe. Nun müssen smtp, smtps, http, https, imap, imaps, ftp, ssh, pop3s Ports offen bleiben. Damit habe ich kein Problem. Leider weiss ich nicht was für Ports offen sein müssen um den Server als NIS-Client sowie NFS-Server und Client betreiben zu müssen. Wo schaue ich am besten noch, oder wie bekomme ich das raus. Scheinbar werden ja nicht immer die gleichen Ports benutzt. Vielen Dank für alle Antworten MFG Patrick Klaus
* am 07. Jan. 2003 postete Patrick Klaus:
ich möchte im internen Netzwerk auf meinem Server eine Firewall einrichten weil ich auf den Router keine Administrationsrechte habe.
[...]
Leider weiss ich nicht was für Ports offen sein müssen um den Server als NIS-Client sowie NFS-Server und Client betreiben zu müssen.
Wo schaue ich am besten noch, oder wie bekomme ich das raus. Scheinbar werden ja nicht immer die gleichen Ports benutzt.
Die Antwort liegt bei Dir im Verzeichnis /etc ;) [mraab@brokenwindow mraab]$ cat /etc/services | grep nfs nfs 2049/tcp nfsd nfs 2049/udp nfsd [mraab@brokenwindow mraab]$ cat /etc/services | grep nis swat 901/tcp # Samba Web Administration Tool Bye Michael -- Windows NT - Insert wallet into Drive A: and press any key to empty. _______________________________________________________________________ Registered Linux User #228306 AIM Tuxi70 ICQ #151172379
* Am Die, 07 Jan 2003 schrieb Michael Raab:
[mraab@brokenwindow mraab]$ cat /etc/services | grep nis swat 901/tcp # Samba Web Administration Tool
Da sieht man, was passiert, wenn man sich die Ergebnisse eines Befehls nicht anguckt....:-) Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
* am 07. Jan. 2003 postete Christoph Maurer:
* Am Die, 07 Jan 2003 schrieb Michael Raab:
[mraab@brokenwindow mraab]$ cat /etc/services | grep nis swat 901/tcp # Samba Web Administration Tool
Da sieht man, was passiert, wenn man sich die Ergebnisse eines Befehls nicht anguckt....:-)
Ich dachte, was mit nfs funzt, klappt dann sicherlich auch für nis. *schäm* Zur Not, könnte man ja auch google bemühen. ;) Bye Michael -- $ cd /pub $ more beer _______________________________________________________________________ Registered Linux User #228306 AIM Tuxi70 ICQ #151172379
Michael Raab wrote:
Leider weiss ich nicht was für Ports offen sein müssen um den Server als NIS-Client sowie NFS-Server und Client betreiben zu müssen.
Wo schaue ich am besten noch, oder wie bekomme ich das raus. Scheinbar werden ja nicht immer die gleichen Ports benutzt.
Die Antwort liegt bei Dir im Verzeichnis /etc ;)
[mraab@brokenwindow mraab]$ cat /etc/services | grep nfs
warum nicht gleich 'grep nfs /etc/services'? micha
Michael Raab wrote:
* am 07. Jan. 2003 postete Patrick Klaus:
ich möchte im internen Netzwerk auf meinem Server eine Firewall einrichten weil ich auf den Router keine Administrationsrechte habe.
[...]
Leider weiss ich nicht was für Ports offen sein müssen um den Server als NIS-Client sowie NFS-Server und Client betreiben zu müssen.
Wo schaue ich am besten noch, oder wie bekomme ich das raus. Scheinbar werden ja nicht immer die gleichen Ports benutzt.
Die Antwort liegt bei Dir im Verzeichnis /etc ;)
[mraab@brokenwindow mraab]$ cat /etc/services | grep nfs nfs 2049/tcp nfsd nfs 2049/udp nfsd
Das reicht AFAIK nicht. Zumindest der portmapper spielt da auch eine Rolle. Der läuft normalerweise auf 111 udp/tcp und nimmt dann fröhlich ports hinzu :(. Ergo: Mit ipchains ist dem Ganzen wohl nur schwerlich beizukommen :(. Bei iptables könnte das connection tracking helfen. /IMHO/ Das erste Paket sollte auf 111 oder 2049 aufschlagen (zur Not tcpdump). Der portmapper sendet dann einen freien port an den client und ab da läuft der Verkehr dann wohl auf dem neuen port. Ich weiss leider nicht ab wann das connection tracking die Verbindung als "established, related" ansieht und ob es den handshake dazu braucht. Auch weiss ich nicht ob dieser Handshake bei nfs/nis auf den "offizilen" ports (111/2049) oder bereits auf den neuen port durchgeführt wird, aber einen Versuch ist es wert. Im allgemeinen ist nfs/nis über unsichere Netzte aber bestimmt nicht das Wahre. /IMHO/ -- - maik
Michael Raab wrote:
* am 07. Jan. 2003 postete Patrick Klaus:
Leider weiss ich nicht was für Ports offen sein müssen um den Server als NIS-Client sowie NFS-Server und Client betreiben zu müssen.
Wo schaue ich am besten noch, oder wie bekomme ich das raus. Scheinbar werden ja nicht immer die gleichen Ports benutzt.
Die Antwort liegt bei Dir im Verzeichnis /etc ;)
[mraab@brokenwindow mraab]$ cat /etc/services | grep nfs nfs 2049/tcp nfsd nfs 2049/udp nfsd
[mraab@brokenwindow mraab]$ cat /etc/services | grep nis swat 901/tcp # Samba Web Administration Tool
Gut, das letzteres nichts war, wurde ja schon festgestellt ;-) Leider ist es auch mit NFS nicht ganz so einfach, da noch über weitere Ports (u.a. für mountd) kommuniziert wird -- und diese Ports werden dynamisch vergeben, d.h. man kann sich nicht auf bestimmte Nummern verlassen :-( In jedem Fall wird sowohl für NFS als auch NIS der Zugriff auf den Portmapper (TCP und UDP Port 111) benötigt, der über die dynamisch zugewiesenen Ports für die einzelnen RPC-Dienste Auskunft gibt. Die Liste der auf einem Rechner laufenden RPC-Dienste und ihrer Ports kann mit `rpcinfo -p HOSTNAME` abgefragt werden -- wer Lust hat, kann sich dann z.B. ein Skript bauen, daß daraus entsprechende Paketfilterregeln erzeugt. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Eilert Brinkmann schrieb:
Michael Raab wrote:
Hallo Michael,
Gut, das letzteres nichts war, wurde ja schon festgestellt ;-) Leider ist es auch mit NFS nicht ganz so einfach, da noch über weitere Ports (u.a. für mountd) kommuniziert wird -- und diese Ports werden dynamisch vergeben, d.h. man kann sich nicht auf bestimmte Nummern verlassen :-(
In jedem Fall wird sowohl für NFS als auch NIS der Zugriff auf den Portmapper (TCP und UDP Port 111) benötigt, der über die dynamisch zugewiesenen Ports für die einzelnen RPC-Dienste Auskunft gibt. Die Liste der auf einem Rechner laufenden RPC-Dienste und ihrer Ports kann mit `rpcinfo -p HOSTNAME` abgefragt werden -- wer Lust hat, kann sich dann z.B. ein Skript bauen, daß daraus entsprechende Paketfilterregeln erzeugt.
Vielen Dank für deine Antworten. Hat mich schon viel weiter gebracht bei mir kommt ampere2:/usr/local/httpd/htdocs/webmail/config # rpcinfo -p localhost Program Vers Proto Port 100000 2 tcp 111 portmapper 100000 2 udp 111 portmapper 100021 1 udp 32768 nlockmgr 100021 3 udp 32768 nlockmgr 100021 4 udp 32768 nlockmgr 100007 2 udp 997 ypbind 100007 1 udp 997 ypbind 100007 2 tcp 1000 ypbind 100007 1 tcp 1000 ypbind 100024 1 udp 32785 status 100024 1 tcp 39510 status 100003 2 udp 2049 nfs 100003 3 udp 2049 nfs 100005 1 udp 32786 mountd 100005 1 tcp 39511 mountd 100005 2 udp 32786 mountd 100005 2 tcp 39511 mountd 100005 3 udp 32786 mountd 100005 3 tcp 39511 mountd ampere2:/usr/local/httpd/htdocs/webmail/config # die ports für ypbind ändern sich zumindestens bei jeden Neustart von ypbind. Allerdings scheinen die ja in einem bestimmten Bereich zu liegen. Also könnte ich doch hingehen und einen bestimmten Bereich offen lassen. Sagen wir mal für ypbind von 990 bis 1010 oder so. Was passiert wenn der portmapper eine Port zuweist der geschlossen ist. Wird dann automatisch ein anderer probiert oder scheitert dadran schon die Port-Vergabe. Wäre hier die entscheidene Frage ;-) Vielen Dank MFG Patrick Klaus
Eilert Brinkmann schrieb:
Michael Raab wrote:
Hallo Michael,
Gut, das letzteres nichts war, wurde ja schon festgestellt ;-) Leider ist es auch mit NFS nicht ganz so einfach, da noch über weitere Ports (u.a. für mountd) kommuniziert wird -- und diese Ports werden dynamisch vergeben, d.h. man kann sich nicht auf bestimmte Nummern verlassen :-(
In jedem Fall wird sowohl für NFS als auch NIS der Zugriff auf den Portmapper (TCP und UDP Port 111) benötigt, der über die dynamisch zugewiesenen Ports für die einzelnen RPC-Dienste Auskunft gibt. Die Liste der auf einem Rechner laufenden RPC-Dienste und ihrer Ports
kann
mit `rpcinfo -p HOSTNAME` abgefragt werden -- wer Lust hat, kann sich dann z.B. ein Skript bauen, daß daraus entsprechende Paketfilterregeln erzeugt.
Vielen Dank für deine Antworten. Hat mich schon viel weiter gebracht bei mir kommt ampere2:/usr/local/httpd/htdocs/webmail/config # rpcinfo -p localhost Program Vers Proto Port 100000 2 tcp 111 portmapper 100000 2 udp 111 portmapper 100021 1 udp 32768 nlockmgr 100021 3 udp 32768 nlockmgr 100021 4 udp 32768 nlockmgr 100007 2 udp 997 ypbind 100007 1 udp 997 ypbind 100007 2 tcp 1000 ypbind 100007 1 tcp 1000 ypbind 100024 1 udp 32785 status 100024 1 tcp 39510 status 100003 2 udp 2049 nfs 100003 3 udp 2049 nfs 100005 1 udp 32786 mountd 100005 1 tcp 39511 mountd 100005 2 udp 32786 mountd 100005 2 tcp 39511 mountd 100005 3 udp 32786 mountd 100005 3 tcp 39511 mountd ampere2:/usr/local/httpd/htdocs/webmail/config # die ports für ypbind ändern sich zumindestens bei jeden Neustart von ypbind. Allerdings scheinen die ja in einem bestimmten Bereich zu liegen. Also könnte ich doch hingehen und einen bestimmten Bereich offen lassen. Sagen wir mal für ypbind von 990 bis 1010 oder so. Was passiert wenn der portmapper eine Port zuweist der geschlossen ist. Wird dann automatisch ein anderer probiert oder scheitert dadran schon die Port-Vergabe. Wäre hier die entscheidene Frage ;-) Vielen Dank MFG Patrick Klaus
participants (6)
-
Christoph Maurer -
Eilert Brinkmann -
Maik Holtkamp -
Michael Meyer -
Michael Raab -
Patrick Klaus