[CB-lug] NFS e firewall

overdrive overdrive@BitchX.it
Lun 19 Feb 2007 10:45:09 CET 

On Fri, Feb 16, 2007 at 10:01:36AM +0100, robertom wrote:
> salve,
> sto costruendo una lan con NFS sulla mia Debian. Nel
> mio firewall se aggiungo la linea:
> 
> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
> 
> riesco benissimo ad aprire il server ai client
> esterni. 

per esterni cosa interni ? 
dovresti essere piu' preciso... qantomeno specificare:
sistema operativo - distribuzione
schede utilizzate (es: eth1 - eth2 eth0- sid0 .... ecc)
Topologia della rete (esempio rete locale su eth0  tre client
windows ed uno linux su un hub, interfaccia ppp0 su eth1 su
modem ADSL speedtouch home ... ecc ecc ...)

Questo perche' nella regola che hai specificato, non hai
specificato l'interfaccia di provenienza dei pacchetti con 
indirizzo 192.168.1.0/24, cio' implica anche attacchi esterni su
ppp0 con indirizzi spoofati.

> Siccome la rete lan deve essere aperta anche ad
> internet, ed in mancanza di un router/firewall, mi
> veniva in mente di restringere ancor di pių le regole
> di accesso al server (che non fa da gateway, essendo
> ogni postazione direttamente connessa allo switch del
> router), per accettare "NEW" nel server solo le
> connessioni destinate alla cartella condivisa, e
> quindi destinate al NFS.
> Come fare? Non riesco invece se sostituisco la
> precedente con questa linea:
> 
> iptables -A INPUT -s 192.168.1.0/24 -m state --state
> NEW -m tcp -p tcp --dport 2049 -j ACCEPT
> 

Aspettando notizie piu' dettagliate ...
    ti auguro una buona giornata.

Francesco Steno aka "oVERDRIVE"

-- 
Il Vero System Manager Conosce I Suoi Polli.

-=-=-=-=-=-=-=-=-=-=-=-=-=-generated by /dev/over-=-=-=-=-=-=-=-=-=-=
                                  oVERDRIVE
<overdrive@OpenGeeks.it><overdrive@BitchX.it><overdrive@Linux.it>
     GnuPG Public Key: http://cb.linux.it/lug/key/overdrive.asc 
  Key Fingerprint: 146A E13D 9E68 3B96 40FB  11F5 9A10 2D1F 3973 C203
-------------- parte successiva --------------
Un allegato non testuale č stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: Digital signature
Url:         http://lists.linux.it/pipermail/lugcb/attachments/20070219/a01bcc28/attachment.pgp

Maggiori informazioni sulla lista Lugcb