Storagespace und iptables

  • Hallo liebe Community,


    ich brauche eure Hilfe. Und zwar habe ich den Storagespace wunderbar einbinden können, doch seit ich iptables verwende (standardmäßig wird alles geblockt - Ein- und Ausgehendes) kann ich nicht mehr darauf zugreifen. Wenn ich bspw. /mnt/storagespace anwählen will, bleibt der Server dabei hängen.


    Was muss ich an meinen iptables ändern, dass ich wieder den Storagespace nutzen kann? Ich habe bis jetzt nur alle relevanten Ports geöffnet.


    Vielen Dank schon einmal!


    EDIT: Habe jetzt mal unmout /mnt/storagespace ausgeführt und jetzt kann ich das Ding gar nicht mehr mounten.

  • Ich habe mich etwas damit beschäftigt gehabt, da ich das selbe Problem hatte. Ich fand eine Lösung, dem NFS-Storage vollen Zugriff zuverschaffen in dem ich tcp und udp eingehend und ausgehend freigegeben habe. Diese habe ich auch in mein iptables v4 script eingebaut, welches unter [RW] Download Bereich | Ray-works.de zu finden ist. Ich hoffe, dass ich dir helfen konnte.



    # Storage Access
    if [ "$NFSSTORAGE" = "yes" ]; then
    $IPTABLES -A INPUT -i $ETH -p tcp -s $NFSIP -j ACCEPT
    $IPTABLES -A INPUT -i $ETH -p udp -s $NFSIP -j ACCEPT


    $IPTABLES -A OUTPUT -o $ETH -p tcp -d $NFSIP -j ACCEPT
    $IPTABLES -A OUTPUT -o $ETH -p udp -d $NFSIP -j ACCEPT
    fi


    If-Abfrage und Variablen müsstest du natürlich anpassen, wenn du es für dein eigenes Script / Befehl nutzen möchtest, da dies ein Auszug aus meinem Script ist.

  • Perfekt! Danke, das hat mich echt zum Verzweifeln gebracht.


    Habe genau deine Regeln verwendet, um die Ports udp und tcp für die IP-Adresse zu öffnen. Ist zwar glaube ich nicht so schön, wenn man der IP-Adresse alles aufmacht, aber es klappt jetzt immerhin wieder. Vielleicht hat ja jemand eine Idee, wie man für die IP-Adresse nur bestimmte Ports öffnet, die man eben für nfs braucht.


    Aber vielen, vielen Dank, RayMD, für deinen Hinweis und deine Hilfe!

  • Gerne. Wenn ich die kommende Woche etwas mehr Zeit habe, werde ich nach einer eleganteren Lösung suchen und die hier im Thread veröffentlichen.
    Das Risiko ist dennoch gering gehalten, da halt "nur" die NFS-IP freigegeben ist. Gefällt mir ebenfalls nicht, aber aus Zeitmangel eine anwendbare Lösung.

  • Vielleicht kann auch Netcup hier weiter helfen, was die Ports angeht. RPC 111 TCP/UDP und NFS 2049 TCP/UDP sind halt standard, aber keine Ahnung ob der RPC Mountd Port statisch oder dynamisch ist und auf was der horcht. Sonst könnte man es leicht anpassen und die Sicherheit ein klein wenig erhöhen (:

  • Vielleicht kann auch Netcup hier weiter helfen, was die Ports angeht. RPC 111 TCP/UDP und NFS 2049 TCP/UDP sind halt standard, aber keine Ahnung ob der RPC Mountd Port statisch oder dynamisch ist und auf was der horcht. Sonst könnte man es leicht anpassen und die Sicherheit ein klein wenig erhöhen (:


    Naja wenn netcup die ports ändert , müssten sie sie auch im wiki hinterlegen,
    also öffentlich, und dann ist ' ja mit der Sicherheit auch wieder hinfällig. ;)



    Gruss


    michi

    It's me, only me, pure michi

    RS 500 SAS G8 Ostern 19

    VPS: 50 G7 |B Ostern 2017|200 G8 Aktion| 200 G8

    WH: SmallEi | Adv17 Spezial Family |4000 SE|1000 WaD

  • Ray meinte wohl die (standardmäßig) dynamischen RPC-Ports ;)


    Wenn diese am NFS-Server fixiert wären/sind, kann man die Firewall entsprechend sicherer gestalten, da nur explizit diese UDP/TCP Ports ausgehend zum NFS-Server freigegeben werden müssen. Ansonsten muss man wie im oberen Beispiel quasi alles freigeben, da man nicht weiß, welche Ports verwendet werden, da sie sich bei jedem Neustart ändern können. Siehe auch: SecuringNFS - Debian Wiki


    Das sollte dann natürlich z.B. im Wiki hinterlegt werden. Unsicher wäre das nicht, warum auch?



    MfG Christian