Nfs absichern bzw an ein Interface binden

[theomega]

Hallo Leute,
ich will ein Verzeichniss auf einem Rootserver via NFS exportieren. Zum Ziel/Client besteht eine verschlüsselte und abgesicherte VPN Verbindung so das ich mir um die Sicherheit keine Sorgen machen sollte.

Das Problem ist nur: Die Daemons die mit NFS im Zusammenhang stehen (portmap statd mountd nfsd usw) öffnen haufenweise Ports. Die werden ja wohl alle nötig sein, aber das Dumme ist nur: Die Ports sind auf allen Interfaces geöffnet also auch auf dem öffentlichen. Wie überzeuge ich jetzt die o.a. Daemons davon nur auf meinem vpn-interface zu lauschen? Es sind ja immerhin 10 Ports die geöffnet werden, das muss ja nicht sein.

Die einzige Lösung die mir einfällt ist den Zugang per IPTables zu sperren. Dann hab ich aber immernoch ein Problem: Die Portnummern bleiben nicht kostant, damit wird das sperren schwierig.

Wer kann mir ein Paar Tipps geben?

Danke
TO

[tk]

Hi,

dieser Link könnte hilfreich für dich sein:

http://nfs.sourceforge.net/nfs-howto/ar01s06.html

Wieso willst du nur die NFS-Ports in iptables sperren. Es macht mehr Sinn alle Ports zu sperren mit Ausnahme von den Ports die du wirklich nach aussen offen haben willst.

Was für ein Betriebssystem hast du auf deinem ROOT-Server?

Gruß

TK

[theomega]

Zum Thema Ibtables als Firewall:
Meiner Meinung nach (und da dürfte ein Großteil des Forums hintermir stehen) sind iptables nur die letzte Möglichkeit, denn der Service läuft und horcht trotzdem und man generiert einen weiteren Punkt an dem Sicherheitslücken auftreten können, deshalb bin ich der Sache auch abgeneigt.

Auf dem Server läuft als Betriebssystem Linux, als Distribution Gentoo x86 unstable, hardened-source 2.6.17r1.