Date: Mon, 30 Dec 2002 10:02:23 +0100 From: Phil Regnauld <none@regnauld--starbsd.org.lh.bsd-dk.dk> To: bsd-novice@bsd-dk.dk Subject: Re: [2] NFS
Henrik Lund Kramshøj (hlk) writes:
>
> >1:
> >
> >Hvilke porte skal jeg åbne i min router for at bruge nfs med eksterne
> >servere?
> >
> Det ønsker du ikke!
> NFS er til lukkede netværk - ikke til brug over Internet eller andre
> usikre netværk
... men i det tilfælde at du absolut skal (f.eks. over en
VPN eller fra Intern net til en DMZ eller lignende), skulle følgende
være nok:
S -> D: 2049/tcp
i.e. (IPFW)
allow tcp from CLIENT to SERVER 2049 setup
allow tcp from SERVER 2049 to CLIENT established
or
allow tcp from CLIENT to SERVER 2049 setup keep-state
Så husk at bruge TCP option i mount optioner:
mount -o tcp myserver:/partition /mnt
> >2:
> >
> >Hvad bedtyder/gør nfs_reserved_port_only="YES"
>
> men jeg aner ikke præcist hvad det betyder i din sammenhæng
i /etc/rc.network:
case ${nfs_reserved_port_only} in
[Yy][Ee][Ss])
echo -n ' NFS on reserved port only=YES'
sysctl -w vfs.nfs.nfs_privport=1 >/dev/null
;;
esac
og i /sys/nfs/nfs_syscalls.c, line 566 (4.6-STABLE):
} else if (nfs_privport) {
/* Check if source port is privileged */
[...]
if (port >= IPPORT_RESERVED &&
[...]
printf("NFS request from unprivileged port (%s:%d)\n",
inet_ntoa(sin->sin_addr), port);
}
Dvs., at NFSd vil nægte at servere requests fra en NFS client som
kommer men en port som er < 1024.
Det var (i fortiden) typisk for a "sikre" sig at klienten var
trusted (i.e. lukket miljøer hvor root == sikkert :)
Hvis man vil tillade "user mounts" (mulighed til at kunne
mounte fra en klient, som almindelig bruger), skal man sætte dette
til "NO" -- det hjælper også med PC-NFS klienter (noget NFS implementation
fra SUN til DOS).
På klient siden skal man så også sætte vfs.usermounts=1 for at tillade
at brugeren kan mounte som "unprivileged".
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:07 CET