SOLARIS --- NFS --- FW --- LINUX-CLIENT

[jp3008]

Hallo liebe Gemeinde,

vielleicht ist mein Problem ziemlich banal aber ich finde im Augenblick keine Lösung oder sehe Sie einfach nicht  

Ausgangssituation:

NFS-Server V3.0 unter Solaris10 ---- FW Cisco ----- Linux- Client

Auf der FW sind Port 111 und 2049 freigeschaltet. Alle Server im internen Netz haben Keine Probleme mit den Shares nur jene die über die FW gehen.

Auf der FW alle Highports freizuschalten erscheint unsere Securitytruppe nicht sehr sinnvoll  .

Daher meine Frage gibt es die Möglichkeit unter Solaris den NFS-Server eine Portrange oder nur einzelne Ports mitzugeben ?

Ich hab hierzu leider nicht passendes gefunden.

Was ist denn mit NFS 4.0 dieses läßt sich ja einfacher durch FW verwalten hat schon jemand Erfahrungen in Verbindung mit Linux-Client's.

Danke für die Hilfe  

[tassilo]

moin moin

hmm iss wohl bedacht worden aber nfs braucht udp. nfs4 braucht tcp. und nur -imho- einen port.

zur not vielleicht über ssh tunneln? )

grüße

tassilo

[Drusus]

Moin,

NFSv3 braucht diverse Portnummern (egal ob via TCP oder UDP) und diese sind dynamisch und eben beim Portmapper/Rpcbind registiert. Die Firewall muesste also die Anfrage zu dem Port 111 parsen und dann dynamisch den zugehoerigen Port (steht in der Antwort drin) freischaten. Das ist Bestandteil des NFS-Standards (weil du auch Locking etc. brauchst). Wenn die Cisco FW das nicht kann, dann hast du Pech.

NFSv4 braucht nur einen Port: TCP Port 2049. Ein weiterer dynamischer Port wird aber noch fuer Delgations versucht zu benutzen aber das ist nur optional. Wenn der blockiert ist, dann kann es sein, dass der initiale NFS-Mount halt etwas laenger dauert aber danach geht es normal weiter.

Tschau,
  Drusus.