Problem gelöst
Es war interessanterweise die Firewall -- aber nicht irgendeine Regel,
sondern das connection tracking als solches. NFS-Pakete wurden
verworfen, weil sie eine zu große sequence number hatten. Dazu noch
wurde in der dropInvalid-Chain bei der Shorewall nicht geloggt. Werde
einen bug report schreiben.
Der Workaround ist:
echo "1" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal
Diese Zeile habe ich /etc/shorewall/start eingetragen. Nicht in
/etc/sysctl.conf, weil netfilter erst beim Firewall-Start geladen wird.
Grüße
Georg
Reply to: