|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: nfs |
Дата: 06/24/2004 |
Здравейте!!!
Имам стартирано nfs на сървър който има достъп до интернет.
Nfs-то или по-точно mountd си отваря порт 1025, който е
забранен от firewall-а и въпреки всичко някакви хостове пак
си правят връзка с него на същия порт, а и не прекратяват
конекцията. netstat-a си стои за тях на
tcp 0 0 "":1025 219.128.16.131:65160
ESTABLISHED
Можете ли да ми кажете защо се получава това? Дали не е
някакъв незакърпен бъг?
При логване чрез firewall-a към този порт получавам
следното:
Jun 23 04:44:28 "" kernel: IN=eth OUT= MAC=""
SRC=219.128.16.131 DST="" LEN=40 TOS=0x10 PREC=0x20 TTL=96
ID=60268 DF PROTO=TCP SPT=65160 DPT=1025 WINDOW=64440
RES=0x00 ACK URGP=0
Знам че най-ления начин е спиране на nfsd-то, но то ми е
послезно при прехвърляне на данни от сървърите във
вътрешната мрежа.
Благодаря ви предварително!
|
Отговор #1 |
От: Григор Лекаров (hammerfall (a) bitex __точка__ bg) |
Дата: 06/24/2004 |
На скоро и аз имах подобен проблем и установих, че наистина
в повечето дистро по подразбиране не е пачнат файловия
сървър. rpc.mountd се стартира на прозиволен свободен порт
ако не си му задал изрично това, но вероятно ти си му
определил 1025. Та значи дупката е в rpc.mountd просто се
дъни при DoS атаки, а предполагам при теб проблема е същия.
Решанието е да потърсиш кръпка за това или да използваш scp.
Вярно малко по градно е прехвърлянето между сървърите, не е
като да монтираш директория от nfs, но пък е поне малко по
сигурно.
Предполагам ще кажеш "да но нали firewall-a ми спира
конекциите?" на което ще отговоря със следното:
Firewall-a спира само част от конекциите към сървъра ти. Той
не може да спре напълно всички атаки. Ако ситемата ти е
стабилна т.е. няма вероятност от пробиливи в софта то тогава
не ти трябва и firewall. Е, за жалост нищо не е напълно
съвършенно :(
Успех!!!
|
Отговор #2 |
От: Росен |
Дата: 06/24/2004 |
Човеко, нали си с линукс? Коя версия ти е ядрото? Да оставим
това, че rpc.mountd трябва да се закърпи, ама до колкото
разбирам това, което ме притеснява е как така защитната
стена се дъни?
Пробвал ли си нещо подобно:
iptables -A INPUT -i ethx -p tcp --dport 1025 -j REJECT
^
Външния ти____________|
интерфейс.
|
<< problem s igrite (5
) | kde (0
) >>
|
|
|
|
|