NFS e guarddog (iptable)

[Sir Wallace]

Ciao, uso guarddog come frontend (kde) per iptables (debian) e nella definizione dei protocolli ammessi per la mia LAN casalinga, ho inserito NFS utilizzando il checkbox predefinito... quando però cerco di montare uno share, vedo che la richiesta viene droppata con staordinaria efficacia...
ho provato allora a definire dei protoclli personalizzati, consentendo il traffico udp e tcp sulla porta 2049 (nfs, letto da /etc/services)... ma ancora nulla...
i pc si pingano che è un piacere e pure ssh funziona alla grande... qualcuno saprebbe dirmi che mi sono scordato??

Le regole sono uguali per entrambe le macchine.

ah, ovviamente stoppando guarddog (e di conseguenza il firewall iptables) il tutto funziona senza fare una piega...

tenchiu

[ilsensine]

Devi aprire anche le porte per portmap.

[Sir Wallace]

AH! Ecco cos'era, mille grazie!
Questa sera faccio le dovute prove....

Il servizio in /etc/services e'

Codice:

sunrpc          111/tcp         portmapper      # RPC 4.0 portmapper
sunrpc          111/udp         portmapper

oppure anche

Codice:

rpc2portmap     369/tcp
rpc2portmap     369/udp                         # Coda portmapper

Ancora grazie!

[ilsensine]

Il primo, sulla 111 udp.

Non so se ne vanno aperte anche altre, ad esempio netstat mi riporta, tra le altre cose:

Codice:

udp        0      0 0.0.0.0:655             0.0.0.0:*                          2599/rpc.statd
udp        0      0 0.0.0.0:32784           0.0.0.0:*                          -
udp        0      0 0.0.0.0:32785           0.0.0.0:*                          2599/rpc.statd
udp        0      0 0.0.0.0:605             0.0.0.0:*                          2549/rpc.mountd

Nel dubbio metti una regola di log su iptables che ti mostra i pacchetti scartati diretti a queste porte.

[Sir Wallace]

uhm...
ho "scoperto" che alcuni di questi servizi 'aggiuntivi' a rpc e portmap come mountd & C, usano porte dinamiche...
il 'protocollo' nfs definito in guardog prevede l'apertura di:

Codice:

Description: TCP connection from client to server.
Name: RPC port mapper service
Source Port: any
Destination Port: 111

Description: Bidirectional UDP connection from client to server.
Name: RPC port mapper service
Source Port: any
Destination Port: 111

Description: TCP connection from client to server.
Name: mountd
Source Port: any
Destination Port: dynamic

Description: Bidirectional UDP connection from client to server.
Name: mountd
Source Port: any
Destination Port: any

Description: TCP connection from client to server.
Name: NFS data
Source Port: any
Destination Port: 2049

Description: UDP connection from client to server.
Name: NFS data
Source Port: any
Destination Port: 2049

Nel tab 'Advanced' si legge che per lui le 'porte dinamiche' vanno da 1024 a 5999....
Non vorrei che i vari servizi utilizzino porte al di fuori di questi indirizzi... esiste un modo per sapere quali pool di porte vengono assegnati ai vari servizi, o e' proprio 'random'??

[ilsensine]

Quote:

Originariamente inviato da Sir Wallace

Nel tab 'Advanced' si legge che per lui le 'porte dinamiche' vanno da 1024 a 5999....
Non vorrei che i vari servizi utilizzino porte al di fuori di questi indirizzi... esiste un modo per sapere quali pool di porte vengono assegnati ai vari servizi, o e' proprio 'random'??

Non torna. La porta nfs è 2049, punto. Le porte assegnate dinamicamente dal s/o possono solo essere >32768, sicuramente non <1024 che sono porte riservate!

Per me stai leggendo troppo e provando poco
Probabilmente ti rimane forse di aprire la 605 e 655, non credo che serva altro.

[Sir Wallace]

eheheheheh
il fatto e' che le prove sono purtroppo rimandate a questa sera...

cmq

Codice:

rpcinfo -p localhost
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100021    1   udp   1024  nlockmgr
    100021    3   udp   1024  nlockmgr
    100021    4   udp   1024  nlockmgr
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100021    1   tcp   1859  nlockmgr
    100021    3   tcp   1859  nlockmgr
    100021    4   tcp   1859  nlockmgr
    100005    1   udp    936  mountd
    100005    1   tcp    939  mountd
    100005    2   udp    936  mountd
    100005    2   tcp    939  mountd
    100005    3   udp    936  mountd
    100005    3   tcp    939  mountd
    100024    1   udp   1026  status
    100024    1   tcp   4537  status

secondo me sono queste che vengono fermate... cmq continuo a cercare le porte per mountd.... :P

e la 605 e 655 da dove saltano fuori??

[ilsensine]

Erano le mie porte per mountd e statd
rpcinfo mi mostra:

Codice:

 programma vers proto   porta
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100021    1   udp  32784  nlockmgr
    100021    3   udp  32784  nlockmgr
    100021    4   udp  32784  nlockmgr
    100021    1   tcp  50922  nlockmgr
    100021    3   tcp  50922  nlockmgr
    100021    4   tcp  50922  nlockmgr
    100005    1   udp    605  mountd
    100005    1   tcp    608  mountd
    100005    2   udp    605  mountd
    100005    2   tcp    608  mountd
    100005    3   udp    605  mountd
    100005    3   tcp    608  mountd
    100024    1   udp  32785  status
    100024    1   tcp  59436  status

nlockmgr sta chiaramente usando porte dinamiche; non ho idea mountd come si assegna le porte.
L'nfs non lo capirò mai...

[Sir Wallace]

hihihihi nel dubbio ho messo

Codice:

/etc/services

# Local services
mount           888/udp                         # Mountd rpc deamon, used by portmap, nfs, rpc
mount           889/tcp                         #

ed infatti ottengo

Codice:

rpcinfo -p localhost
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp   1026  status
    100024    1   tcp   4537  status
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100021    1   udp   1116  nlockmgr
    100021    3   udp   1116  nlockmgr
    100021    4   udp   1116  nlockmgr
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100021    1   tcp   4093  nlockmgr
    100021    3   tcp   4093  nlockmgr
    100021    4   tcp   4093  nlockmgr
    100005    1   udp    888  mountd
    100005    1   tcp    889  mountd
    100005    2   udp    888  mountd
    100005    2   tcp    889  mountd
    100005    3   udp    888  mountd
    100005    3   tcp    889  mountd

Non credo generino problemi di sicurezza... cmq trascurabili nel pc di casa praticamente mai in internet... ora apro le porte nel firewall e faro' delle prove... spero che basti!!

[Sir Wallace]

Ok, sono riuscito finalmente a fare la prova e posso garantirvi che impostando in modo statico le porte di mountd ed aprendo un varco nel firewall, tutto funziona correttamente

byebye