Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

NFS durch eine Firewall

4 views
Skip to first unread message

Thiess Rathjen

unread,
Jun 9, 2000, 3:00:00 AM6/9/00
to
Hallo,

ich versuche gerade ein NFS Volume durch eine Firewall hindurch auf meinem
Rechner zu mounten. Weiss jemand welche Ports dafür freigegeben werden
müssen. Geht das überhaupt, ich habe meine mal gelesen zu haben, dass der
Port gar nicht einheitlich ist, sprich vorher nicht bekannt ist?
Innerhalb der Firewall geht das problemlos.
Weiss jemand Rat?
Thiess.

Stephan Seitz

unread,
Jun 9, 2000, 3:00:00 AM6/9/00
to
Hi!

Thiess Rathjen <thiess....@globetrotter.de> wrote:
> Rechner zu mounten. Weiss jemand welche Ports dafür freigegeben werden
> müssen. Geht das überhaupt, ich habe meine mal gelesen zu haben, dass der

Das wüßte ich auch gern.

> Port gar nicht einheitlich ist, sprich vorher nicht bekannt ist?

Stimmt, der mountd und die anderen vom Portmapper verwalteten Dienste
haben unterschiedliche Ports.
Versuch mal ein "rpcinfo -p".

Ein Versuch, die ipchains mitzuloggen erbrachte beim NFS-Mountversuch
ein solches Portgespringe, daß ich keine wirklichen Regelmäßigkeiten
(auch nicht mit rpcinfo) sah, eine Firewall-Regel daraus zu basteln.

Shade and sweet water!

Stephan

--
| Stephan Seitz E-Mail: rz...@rzawb02.rz.uni-saarland.de |
| WWW: http://fsing.fs.uni-sb.de/~stse/ |
| PGP Public Keys: http://fsing.fs.uni-sb.de/~stse/pgp.html |

Konstantinos Agouros

unread,
Jun 9, 2000, 3:00:00 AM6/9/00
to
In <8hqcft$3ftoo$1...@hades.rz.uni-sb.de> Stephan Seitz <rz...@rzawb02.rz.uni-saarland.de> writes:

>Hi!

>Thiess Rathjen <thiess....@globetrotter.de> wrote:
>> Rechner zu mounten. Weiss jemand welche Ports dafür freigegeben werden
>> müssen. Geht das überhaupt, ich habe meine mal gelesen zu haben, dass der

>Das wüßte ich auch gern.

>> Port gar nicht einheitlich ist, sprich vorher nicht bekannt ist?

>Stimmt, der mountd und die anderen vom Portmapper verwalteten Dienste
>haben unterschiedliche Ports.
>Versuch mal ein "rpcinfo -p".

>Ein Versuch, die ipchains mitzuloggen erbrachte beim NFS-Mountversuch
>ein solches Portgespringe, daß ich keine wirklichen Regelmäßigkeiten
>(auch nicht mit rpcinfo) sah, eine Firewall-Regel daraus zu basteln.

Entweder einen riesen-range aufmachen, einen stateful firewall nehmen, der rpc
versteht, oder, wenn auf der gegenseite nicht nur nfs sondern auch samba laeuft
einen smbmount von linux aus machen da reicht tcp/139 in den Chains. Auch wenn
M$ viel Schrott macht, das ist deutlich Firewall-freundlicher \:)
Dank smbmounts port-Option kann man sogar einen SSH-Tunnel auf den anderen Rech-
ner graben (wenn das die Firewall durchlaeuft) und sich den share via port-for-
warding holen, dann ists sogar noch verschluesselt \:)

Konstantin


>Shade and sweet water!

> Stephan

>--
>| Stephan Seitz E-Mail: rz...@rzawb02.rz.uni-saarland.de |
>| WWW: http://fsing.fs.uni-sb.de/~stse/ |
>| PGP Public Keys: http://fsing.fs.uni-sb.de/~stse/pgp.html |

--
Dipl-Inf. Konstantin Agouros aka Elwood Blues. Internet: elw...@agouros.de
Otkerstr. 28, 81547 Muenchen, Germany. Tel +49 89 69370185
----------------------------------------------------------------------------
"Captain, this ship will not sustain the forming of the cosmos." B'Elana Torres

Max Kliche

unread,
Jun 10, 2000, 3:00:00 AM6/10/00
to
elw...@news.agouros.de (Konstantinos Agouros) wrote:
> In <8hqcft$3ftoo$1...@hades.rz.uni-sb.de>
> Stephan Seitz <rz...@rzawb02.rz.uni-saarland.de> writes:
> >Thiess Rathjen <thiess....@globetrotter.de> wrote:
> >> Rechner zu mounten. Weiss jemand welche Ports dafür freigegeben werden
> >> müssen. Geht das überhaupt, ich habe meine mal gelesen zu haben, dass der
>
> >Das wüßte ich auch gern.
>
> >> Port gar nicht einheitlich ist, sprich vorher nicht bekannt ist?
>
> >Stimmt, der mountd und die anderen vom Portmapper verwalteten Dienste
> >haben unterschiedliche Ports.
> >Versuch mal ein "rpcinfo -p".

Aus man nfs:
port=n
The numeric value of the port to connect to the NFS server
on If the port number is 0 (the default) then query the remote
host's portmapper for the port number to use. If the remote host's
NFS daemon is not registered with its portmapper, the standard NFS
port number 2049 is used instead.


Vielleicht hilft das

Max

--
when I find my code in tons of trouble,
friends and colleagues come to me,
speaking words of wisdom
"write in C"

Joern Seemann

unread,
Jun 10, 2000, 3:00:00 AM6/10/00
to
On Fri, 9 Jun 2000 09:06:36 +0200, "Thiess Rathjen"
<thiess....@globetrotter.de> wrote:


>ich versuche gerade ein NFS Volume durch eine Firewall hindurch auf meinem

>Rechner zu mounten. Weiss jemand welche Ports dafür freigegeben werden
>müssen. Geht das überhaupt, ich habe meine mal gelesen zu haben, dass der

>Port gar nicht einheitlich ist, sprich vorher nicht bekannt ist?

>Innerhalb der Firewall geht das problemlos.
>Weiss jemand Rat?

Ja, schalte die Firewall ab.

Gruss Jörn

Norbert Tretkowski

unread,
Jun 10, 2000, 3:00:00 AM6/10/00
to

Genau, und mache damit den ganzen anderen Rest den sie blocken wuerde auch
auf. Fuer NFS muessen die Ports 2049 und 111 offen sein, und eine Reihe
bestimmter Ports um 918 (den hat er grad noch bei mir belegt), ich konnte
aber auf die Schnelle keine Dokumentation darueber finden in welchem
Bereich genau sich das bewegt.


Regards/Gruesse, Norbert

--
Norbert Tretkowski, http://nexus.nobse.de

Ingo Matthaes

unread,
Jun 13, 2000, 3:00:00 AM6/13/00
to
In article <8i4p5g$fat$2...@honi.dierichs.de>, Jochen Hein wrote:

>no...@nobse.de (Norbert Tretkowski) writes:
>
>> > >Weiss jemand Rat?
>> >
>> > Ja, schalte die Firewall ab.
>>
>
>111 ist der Portmapper, 2049 der nfsd (per Konvention, verwaltet vom
>Portmapper). Du brauchst dann noch Zugriff auf den mountd, welcher
>Port das ist, das erzählt Dir der aktueller Portmapper. Achja, hast
>Du einen lockd?

Den statd und rquotad nicht zu vergessen ! Ach so, unterschiedliche
Protokollversionen registrieren sich mit unterschiedlichen Ports.

2 mögliche Lösungen:

1.) Portmapper patche, so dass er bei pmap_set die Firewall Rule setzt

2.) Scriptgesteuert die benötigten Ports freimachen, nicht besonders
schwierig.

Ingo

Christian Schroeder

unread,
Jun 14, 2000, 3:00:00 AM6/14/00
to
On Fri, 9 Jun 2000 09:06:36 +0200, "Thiess Rathjen"
<thiess....@globetrotter.de> wrote:

>Hallo,


>
>ich versuche gerade ein NFS Volume durch eine Firewall hindurch auf meinem
>Rechner zu mounten. Weiss jemand welche Ports dafür freigegeben werden
>müssen. Geht das überhaupt, ich habe meine mal gelesen zu haben, dass der
>Port gar nicht einheitlich ist, sprich vorher nicht bekannt ist?
>Innerhalb der Firewall geht das problemlos.
>Weiss jemand Rat?

>Thiess.
>
>

Also mal ehrlich,

wer Protokolle wie NFS durch eine Firewall passieren lassen will, hat
sich sein Sicherheitskonzept nicht gruendlich ueberlegt. Es gibt eben
Dienste unter UNIX, deren Einsatz in sicherheitsrelevanten Umgebungen
nicht unbedingt anzuraten ist. NFS gehaoert ebenso wie NIS, X11, SNMP
zu diesen Diensten.

Christian (christian...@imms.de)

Matthias Andree

unread,
Jun 14, 2000, 3:00:00 AM6/14/00
to
"Thiess Rathjen" <thiess....@globetrotter.de> writes:

> ich versuche gerade ein NFS Volume durch eine Firewall hindurch auf meinem
> Rechner zu mounten.

Sowas tut man nicht. Installier' SSH und benutz' scp. Alternativ, bau
einen kryptographisch sicheren Tunnel und benutz' den, wenn's unbedingt
sein muß.

Recommended reading:

1. "Building Internet Firewalls", Chapman & Zwicky, O'Reilly. ISBN
1565921240.

2. Das Grundschutzhandbuch des BSI (online irgendwo unter
http://www.bsi.de)

--
Matthias Andree

Where do you think you're going today?

0 new messages