RE: Consulta iptables
-----Mensaje original-----
De: Carlos Andrés Martín [mailto:marcarand@gmail.com]
Enviado el: jueves, 20 de octubre de 2016 10:36 a. m.
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Consulta iptables
El 20/10/16 a las 10:31, Javier Marcon escribió:
> El 20/10/16 a las 10:24, Romero, Fernando escribió:
>> Hola como están, tengo un tema con iptables.
>> Necesito que una ip especifica este habilitada para conectarse a un nfs, estoy tratando de filtrar por iptables.
>> La regla que cree es la siguiente:
>>
>> iptables -A INPUT -s x.x.x.x -m state --state NEW -p tcp --dport 2049 -j ACCEPT (donde x.x.x.x es la ip que quiero habilitar)
supongo que yo agregaría "--state NEW, ESTABLISHED" para que cualquier conexión derivada de la anterior sea aceptada también.
>> Si consulto las reglas me muestra que la creo
>>
>> root@x.x.x.x ~ # iptables -nL
>> Chain INPUT (policy ACCEPT)
>> target prot opt source destination
>> ACCEPT tcp -- x.x.x.x 0.0.0.0/0 state NEW tcp dpt:2049
>>
>> Chain FORWARD (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain OUTPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Pero cuando quiero montar el nfs me tira error.
>>
>> [root@localhost ~]# mount x.x.x.x:/backup /backup
>> mount.nfs: No such device
quizás te haga falta especificar el port... "mount x.x.x.x:2049/backup /backup"
>>
>> Me estoy equivocando con la regla?
>>
>> Gracias y saludos
>>
>>
> Esa regla no haría nada porque según lo que mostras tenes el policy
> de INPUT en Accept, entonces si no estuviese esa regla, acepta igual
> porque cae por el policy.
>
> Distinto fuese si tuvieses el policy on DROP o REJECT, en cuyo caso
> tendrías que tener una regla que acepte los paquetes established y
> related porque esta regla solo deja pasar los new. Lo mismo pasaría si
> tuvieses el policy de Output en drop o reject.
Totalmente de acuerdo... sospecho que el problema no está en el 'iptables'
> Saludos,
>
> Javier.
>
Le agrego el puerto para mapearlo y me tira error igual, si miro los puertos desde el equipo remoto me lo muestra
PORT STATE SERVICE
111/tcp open rpcbind
2049/tcp open nfs
Reply to: