RE: Consulta iptables

To: Carlos Andrés Martín <marcarand@gmail.com>, "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org>
Subject: RE: Consulta iptables
From: "Romero, Fernando" <Fernando.Romero@lineamitre.gob.ar>
Date: Thu, 20 Oct 2016 13:45:12 +0000
Message-id: <[🔎] 0142bf8069e34eb9b237f936de037442@LMVRTMAIL01.sofse.gob.ar>
In-reply-to: <[🔎] b148a9e3-6075-bbd5-15d5-0c224ea368b3@gmail.com>
References: <[🔎] 11276fd56d044f60bb9e89ca80df9d21@LMVRTMAIL01.sofse.gob.ar> <[🔎] 91ea3cbb-29df-eafa-cfd4-5624ff946e7d@gmail.com> <[🔎] b148a9e3-6075-bbd5-15d5-0c224ea368b3@gmail.com>


-----Mensaje original-----
De: Carlos Andrés Martín [mailto:marcarand@gmail.com] 
Enviado el: jueves, 20 de octubre de 2016 10:36 a. m.
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Consulta iptables

El 20/10/16 a las 10:31, Javier Marcon escribió:
> El 20/10/16 a las 10:24, Romero, Fernando escribió:
>> Hola como están, tengo un tema con iptables.
>> Necesito que una ip especifica este habilitada para conectarse a un nfs, estoy tratando de filtrar por iptables.
>> La regla que cree es la siguiente:
>>
>> iptables -A INPUT -s x.x.x.x -m state --state NEW -p tcp --dport 2049 -j ACCEPT   (donde x.x.x.x es la ip que quiero habilitar)
supongo que yo agregaría "--state NEW, ESTABLISHED" para que cualquier conexión derivada de la anterior sea aceptada también.
>> Si consulto las reglas me muestra que la creo
>>
>> root@x.x.x.x ~ # iptables -nL
>> Chain INPUT (policy ACCEPT)
>> target     prot opt source               destination
>> ACCEPT     tcp  --  x.x.x.x           0.0.0.0/0            state NEW tcp dpt:2049
>>
>> Chain FORWARD (policy ACCEPT)
>> target     prot opt source               destination
>>
>> Chain OUTPUT (policy ACCEPT)
>> target     prot opt source               destination
>>
>> Pero cuando quiero montar el nfs me tira error.
>>
>> [root@localhost ~]# mount x.x.x.x:/backup /backup
>> mount.nfs: No such device
quizás te haga falta especificar el port... "mount x.x.x.x:2049/backup /backup"
>>
>> Me estoy equivocando con la regla?
>>
>> Gracias y saludos
>>
>>
> Esa regla no haría nada porque según lo que mostras  tenes el policy 
> de INPUT en Accept, entonces si no estuviese esa regla, acepta igual 
> porque cae por el policy.
>
> Distinto fuese si tuvieses el policy on DROP o REJECT, en cuyo caso 
> tendrías que tener una regla que acepte los paquetes established y 
> related porque esta regla solo deja pasar los new. Lo mismo pasaría si 
> tuvieses el policy de Output en drop o reject.
Totalmente de acuerdo... sospecho que el problema no está en el 'iptables'
> Saludos,
>
> Javier.
>

Le agrego el puerto para mapearlo y me tira error igual, si miro los puertos desde el equipo remoto me lo muestra

PORT     STATE SERVICE
111/tcp  open  rpcbind
2049/tcp open  nfs

Reply to:

Follow-Ups:
- Re: Consulta iptables
  - From: "Aaron D." <aarondios@gmx.com>

References:
- Consulta iptables
  - From: "Romero, Fernando" <Fernando.Romero@lineamitre.gob.ar>
- Re: Consulta iptables
  - From: Javier Marcon <javiermarcon@gmail.com>
- Re: Consulta iptables
  - From: Carlos Andrés Martín <marcarand@gmail.com>

Prev by Date: Re: Consulta iptables
Next by Date: Re: Consulta iptables
Previous by thread: Re: Consulta iptables
Next by thread: Re: Consulta iptables
Index(es):
- Date
- Thread