RE: Consulta iptables
-----Mensaje original-----
De: Aaron D. [mailto:aarondios@gmx.com]
Enviado el: jueves, 20 de octubre de 2016 11:59 a. m.
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Consulta iptables
On Thu, 20 Oct 2016 13:45:12 +0000
"Romero, Fernando" <Fernando.Romero@lineamitre.gob.ar> wrote:
>
>
> -----Mensaje original-----
> De: Carlos Andrés Martín [mailto:marcarand@gmail.com] Enviado el:
> jueves, 20 de octubre de 2016 10:36 a. m.
> Para: debian-user-spanish@lists.debian.org
> Asunto: Re: Consulta iptables
>
> El 20/10/16 a las 10:31, Javier Marcon escribió:
> > El 20/10/16 a las 10:24, Romero, Fernando escribió:
> >> Hola como están, tengo un tema con iptables.
> >> Necesito que una ip especifica este habilitada para conectarse a un nfs, estoy tratando de filtrar por iptables.
> >> La regla que cree es la siguiente:
> >>
> >> iptables -A INPUT -s x.x.x.x -m state --state NEW -p tcp --dport 2049 -j ACCEPT (donde x.x.x.x es la ip que quiero habilitar)
> supongo que yo agregaría "--state NEW, ESTABLISHED" para que cualquier conexión derivada de la anterior sea aceptada también.
> >> Si consulto las reglas me muestra que la creo
> >>
> >> root@x.x.x.x ~ # iptables -nL
> >> Chain INPUT (policy ACCEPT)
> >> target prot opt source destination
> >> ACCEPT tcp -- x.x.x.x 0.0.0.0/0 state NEW tcp dpt:2049
> >>
> >> Chain FORWARD (policy ACCEPT)
> >> target prot opt source destination
> >>
> >> Chain OUTPUT (policy ACCEPT)
> >> target prot opt source destination
> >>
> >> Pero cuando quiero montar el nfs me tira error.
> >>
> >> [root@localhost ~]# mount x.x.x.x:/backup /backup
> >> mount.nfs: No such device
> quizás te haga falta especificar el port... "mount x.x.x.x:2049/backup /backup"
> >>
> >> Me estoy equivocando con la regla?
> >>
> >> Gracias y saludos
> >>
> >>
> > Esa regla no haría nada porque según lo que mostras tenes el policy
> > de INPUT en Accept, entonces si no estuviese esa regla, acepta igual
> > porque cae por el policy.
> >
> > Distinto fuese si tuvieses el policy on DROP o REJECT, en cuyo caso
> > tendrías que tener una regla que acepte los paquetes established y
> > related porque esta regla solo deja pasar los new. Lo mismo pasaría
> > si tuvieses el policy de Output en drop o reject.
> Totalmente de acuerdo... sospecho que el problema no está en el 'iptables'
> > Saludos,
> >
> > Javier.
> >
>
> Le agrego el puerto para mapearlo y me tira error igual, si miro los
> puertos desde el equipo remoto me lo muestra
>
> PORT STATE SERVICE
> 111/tcp open rpcbind
> 2049/tcp open nfs
>
La carpeta /backup existe en la máquina remota? Fijate que indicas que la carpeta esta en la raiz no en la home de un usuario.
--
Aaron D. <aarondios@gmx.com>
Si la carpeta existe en el servidor y en el cliente
Reply to: