NFS gennem firewall

From: Erik Norgaard (none@norgaard--locolomo.org.lh.bsd-dk.dk)
Date: Fri 09 Jan 2004 - 16:02:53 CET

Next message: Michael Rasmussen: "SV: NFS gennem firewall"
Previous message: Claus Guttesen: "tuning af FreeBSD 5.2 nfs-server"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Fri, 9 Jan 2004 16:02:53 +0100 (CET)
From: Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: NFS gennem firewall

Hej,

Jeg sidder med et netvaerk der ser saadan ud:

    Internet
       |
     +----+
     | FW |--Servernet
     +----+
       |
    Klientnet

Paa klientnettet sidder en masse onde windows maskiner, det er
folks private maskiner, "som er fuld af virus og trojanske heste"
saa for at beskytte serverne er de sat paa et separat ben.
Serverne er FreeBSD 4.9 og firewallen er IP-filter baseret.

Nu ville jeg saa gerne saette et par tynde/diskloese klienter op -
paa klientnettet. Derfor skulle jeg gerne kunne mounte med nfs
gennem firewallen.

Spoergsmaalet er hvilke porte jeg skal aabne for i firewallen, for
at det kan lade sig goere.

Jeg har ikke kunnet finde FreeBSD/andenBSD dokumentation paa det,
kun linux dokumentation. Heri staar at statd, lockd og mountd faar
tildelt ledige porte af portmapper hvor til nfs klienten derefter
aabner forbindelse.

Det er jo fuldstaendig umuligt at filtrere, men linux-implementa-
tionen tillader at man kan specificere hvilke porte de skal koere
paa.

Den mulighed kan jeg ikke se i FreeBSD dokumentationen. Maaske
fordi FreeBSD nfs er implementeret anderledes? I /etc/services,
finder jeg foelgende relevante porte:

lockd 4045/udp # NFS lock daemon/manager
lockd 4045/tcp
nfsd-status 1110/tcp #Cluster status info
nfsd-keepalive 1110/udp #Client status info
nfsd 2049/tcp nfs # NFS server daemon
nfsd 2049/udp nfs # NFS server daemon
sunrpc 111/tcp rpcbind #SUN Remote Procedure Call
sunrpc 111/udp rpcbind #SUN Remote Procedure Call

Men altsaa intet for mountd eller statd.

Er der nogen der har svaret paa hvordan man tillader nfs gennem
firewall uden at aabne for alt?

Mvh Erik

PS: Jeg ved godt at de tynde klienter burde placeres paa et
separat ben men de tilgaengelige resourcer goer det umuligt.

Brønlunds Allé 41 Cell, dk: +45 3023 7919
DK-2900 Hellerup Cell, es: +34 690 288 431
Denmark Cell, it: +39 348 098 8046

Next message: Michael Rasmussen: "SV: NFS gennem firewall"
Previous message: Claus Guttesen: "tuning af FreeBSD 5.2 nfs-server"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:35 CET