RE: Consulta iptables
-----Mensaje original-----
De: Pablo JIMÉNEZ [mailto:pjimenez.cl@gmail.com]
Enviado el: jueves, 20 de octubre de 2016 3:27 p. m.
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Consulta iptables
On Thu, Oct 20, 2016 at 05:47:01PM +0000, Romero, Fernando wrote:
>
> En el cliente el showmount -e me da este error
>
> rpc mount export: RPC: Authentication error; why = Failed (unspecified
> error)
>
> Y en el /etc/exports tengo esto
>
> /backup x.x.x.x(rw,no_root_squash)
>
> Y el comando exportfs me da:
>
> /backup x.x.x.x
>
> Saludos
Ok. Asumo, entonces, sigues con IPTables activo. Si ese es el caso:
1. No tiene sentido que uses tcpwrappers si ya tienes IPTables. Mejor
dejas /etc/hosts.allow y /etc/hosts.deny tal como estaban
originalmente.
2. La Wiki de Debian tiene (en inglés) las instrucciones para configurar
IPTables para el uso con NFS:
https://wiki.debian.org/SecuringNFS
Antes de realizar el bastionamiento recomendado por el documento,
puedes habilitar los permisos en IPTables para permitir el tráfico
desde tus clientes al servidor NFS y de ese modo, comprobar que
puedes acceder al directorio que deseas exportar:
a. La manera más burda de hacer la prueba es desactivar temporalmente
IPTables en tu servidor. Eso dependerá, obviamente de si tienes
permiso para llevar a cabo tal acción.
b. Una segunda opción burda sería mantener IPTables en
funcionamiento, pero agregando temporalmente las reglas que
permitan todo el tráfico TCP y UDP desde la dirección IP de tu
cliente NFS al servidor NFS. Algo del estilo:
# iptables -A INPUT -s <IP cliente NFS> -j ACCEPT
Si tanto el cliente como el servidor se encuentran en la misma subred IP, una vez permitas temporalmente todo el tráfico desde el cliente NFS en el IPTables del servidor NFS, la prueba con showmount debiera arrojarte la información los directorios compartidos y podrás proceder con el bastionamiento del servidor.
Saludos.
--
Pablo Jiménez
Segui los pasos que me decis y ya me devuelve el showmount en el cliente los directorios compartidos en el servidor nfs pero sigue dando error para mapearlo
Saque lo de tcpwrappers y deje solo iptables con todo el trafico permitido a la ip del cliente
[root@localhost ~]# showmount -e x.x.x.x
Export list for x.x.x.x:
/backup x.x.x.x
[root@localhost ~]# mount x.x.x.x:/backup /backup/
mount.nfs: No such device
[root@localhost ~]#
Iptables me quedo asi
root@localhost ~ # iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 85.10.243.226 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Reply to: