Liebe Linux-Freunde!
Ich brauche einen guten Rat für folgendes Firewall-Problem im lokalen Netzwerk:
3 Rechner Suse 9.3 über LAN verbunden, Datenaustausch über Nfs. Dies geht nur, wenn ich alle Ports öffne. Die Yast-Firewall-Konfiguration reicht nicht. Auch die Konfiguration “Externe Zone” mit allen Diensten freigeschaltet nutzt nichts. Schon die Suche nach den anderen LAN-REchnern geht dann nicht. Ich habe schon versucht, über netstat die benötigten Ports zu ermitteln und sie dann manuell freizuschalten, aber ich habe nicht die richtigen Ports gefunden.
Wer kennt die notwenigen Ports? DNS geht bei mir über /etc/hosts, ich habe keinen DNS-Server im LAN.
Danke für Eure Hilfe, Jürgen
Hallo Jürgen,
der Dienst mountd, welcher bei dir höchtswahrscheinlich blockiert wird,
verwendet einen zufällig zugewiesenen Port. Deshalb gelingt es dir auch nicht,
den Port freizuschalten.
In der Datei /etc/sysconfig/nfs kannst du dem mountd über die Option
MOUNTD_PORT einen festen Port zuweisen. Dieser kann dann in der Firewall
freigeschalten werden.
mfg
Rico
Hallo,
ich verstehe deine Netzwerkarchitektur zwar noch nicht so ganz und warum du im internen Netz eine Firewall benötigst, aber im Umfeld von NFS und Portmapper gibt es auch noch den statd, der auch mit dynamisch zugewiesenen Ports arbeitet. Der Befehl ‘rpcinfo -p localhost’ gibt Auskunft über die aktuelle Portbelegung.
Günter
Hallo Rico, Hallo Günter,
danke für Eure sehr hilfreichen Infos. mountd arbeitet jetzt auf einem festen Port, aber es machen noch weitere Dienste die gleichen Probleme, nach der Lektüre von Kofler’s Linux-Buch und einem Howto vielleicht auch noch lockd. Auch bei Nutzung von Samba dasselbe.
Das Ganze ist sehr interessant und lehrreich, zur Zeit weiß ich nur noch nicht, welche Dienste alle und mit welcher Syntax in welcher Datei auf einen festen Port festgelegt werden müssen.
Ich werde wohl zunächst Günter’s Gedanken aufgreifen und die Firewall’s innerhalb des Netzwerks auf interne Zone stellen und mich allein auf die Firewall der Fritz Box verlassen. Wenn es auch nach meinen bisherigen Informationen weniger Sicherheit bedeutet.
Euch nochmals danke, Jürgen
Du brauchst im lokalen Netz normalerweise keine Firewall. Wenn auf einem Rechner kein Programm läuft, das auf einem bestimmten Port auf Verbindungen wartet, dann reagiert der Rechner auch nicht auf Verbindungsversuche auf diesem Port, ein zusätzlicher Schutz ist also gar nicht erforderlich. Solange Du nur Programme laufen lässt, die Du auch brauchst und diese Programme vernünftig konfiguriert sind, ist ein Rechner auch ohne Firewall sicher.
Samba ist ein proprietäres Protokoll, Du solltest es nur einsetzten wenn Du es auch wirklich brauchst, ab Windows NT 5.0 (Marketing-Name “Windows 2000”) kannst Du NFS benutzen (hier geht’s zum Download).
Gruß,
Ingo
[1] http://www.microsoft.com/windowsserversystem/sfu/default.mspx
