Hallo zusammen!
Ich hab mich bisher geweigert iptables aufzusetzen, da ich die Dienste ganz gut konfigurieren konnte.
NFS nervt mich. Ich brauche das um für meine Webserver um diese mit einem identischen /var/www zu versorgen, sonst hätte ich es schon längst abgeschafft. Rsync konnte ich bisher nicht sinnvoll einsetzten, da jeder Webserver Uploads hat.
Wie kann man NFS ohne iptables absichern?
Welche lauffähigen Alternativen gibts es - sshfs gefällt mir, ist aber zu lahm.
Andere Ideen NFS sicher zu machen - eigentlich würde es reichen, nfs/portmap/rpcs auf eth1 zu bonden. Das krieg ich aber nicht hin.
Danke volatile
NFS/IPtables
Re: NFS/IPtables
Die einzige sinnvolle Alternative zu NFS ist AFS bzw. OpenAFS. Ist aber mindestens genauso hässlich zu konfigurieren und abzusichern. vgl. http://www.gentoo.org/doc/en/openafs.xml
Re: NFS/IPtables
Naja ich schau grad mal NFSv4 an. Aber Gentoo startet mit dem nfs-initskript auch wieder den rpcbind, obwohl es den eigentlich gar net mehr braucht.
Ich hab auch schon mal einwenig gegoogelt. AFS bzw. ich bin noch auf Coda gestoßen.
Hast du Erfahrung mit sshfs für Clusteringzwecke?
Ich hab auch schon mal einwenig gegoogelt. AFS bzw. ich bin noch auf Coda gestoßen.
Hast du Erfahrung mit sshfs für Clusteringzwecke?
Re: NFS/IPtables
Da fallen mir spontan ein paar Ansätze ein:
1. Mit RSync könnte man die beiden Systeme gegeneinander syncen, indem auf beiden Servern ein RSync-Daemon läuft und von diesem die jeweiligen Änderungen gezogen werden ohne eigene Daten zu löschen.
2. NFS / Portmapper / RPC auf nen Port festnageln und IP-Tables nutzen. Wie das geht verrät google auf vielen Seiten. Wenn IP-Tables nervt, reicht für viele Fälle auch ein Tool wie shorewall. Damit lassen sich auf einfache Art schöne Regelsätze bauen. Hab genau diese Kombination laufen, geht gut.
3. Auch wenns nicht die "schönste" Lösung ist, samba. Seit Ewigkeiten im Kernel und lässt sich schön festnageln.
EDIT: OpenAFS / Coda is nen heftiger Aufriss, weil das ne Kerberos-Infrastruktur vorraussetzt, sshfs performed beschissen und hat bei mir seltsame Seiteneffekte gezeigt, weil es nicht alle Dateisystemaufrufe sauber abbilden kann.
1. Mit RSync könnte man die beiden Systeme gegeneinander syncen, indem auf beiden Servern ein RSync-Daemon läuft und von diesem die jeweiligen Änderungen gezogen werden ohne eigene Daten zu löschen.
2. NFS / Portmapper / RPC auf nen Port festnageln und IP-Tables nutzen. Wie das geht verrät google auf vielen Seiten. Wenn IP-Tables nervt, reicht für viele Fälle auch ein Tool wie shorewall. Damit lassen sich auf einfache Art schöne Regelsätze bauen. Hab genau diese Kombination laufen, geht gut.
3. Auch wenns nicht die "schönste" Lösung ist, samba. Seit Ewigkeiten im Kernel und lässt sich schön festnageln.
Was meinst du damit genau?volatile wrote:auf eth1 zu bonden
EDIT: OpenAFS / Coda is nen heftiger Aufriss, weil das ne Kerberos-Infrastruktur vorraussetzt, sshfs performed beschissen und hat bei mir seltsame Seiteneffekte gezeigt, weil es nicht alle Dateisystemaufrufe sauber abbilden kann.
Re: NFS/IPtables
http://en.wikipedia.org/wiki/ATA_over_Ethernet
Funktioniert allerdings nur im LAN...
Funktioniert allerdings nur im LAN...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: NFS/IPtables
- iSCSI und vermutlich auch ATA over Ethernet ist aber kein verteiltes Dateisystem.
- Coda und AFS könnte man schon einrichten, aber so wie ich das gerade gegoogelt habe schaut das auch nicht so prima aus. Außerdem steht Coda quasi in der Entwicklung still und AFS ist schon etwas anstrengend.
- NFS - naja klar per iptables kann man das machen, aber ich will ja gerade kein iptables
- rsync: finde ich genauso wie sshfs irgendwie am meisten sexy, aber ich bin mir noch nicht so im klaren, ob man damit nicht Dateien verdoppelt. 3 Webserver kriegen Uploads und löschen widerum auch Files. Das geht meines erachtens via rsync nicht, da die einzelnen rsync clients dann via --delete Dateien vom Hauptserver killen bzw. sonst ja gar nicht löschen können. unison oder so solls da noch geben, aber gleich mal schaun.
Re: NFS/IPtables
NFS ist aber auch kein verteiltes Dateisystem.volatile wrote:
- iSCSI und vermutlich auch ATA over Ethernet ist aber kein verteiltes Dateisystem.
sshfs würde ich lassen, das ist bei mir ausgestiegen, als ich aus freigegebenen mp3 die id3-Tags lesen wollte, sowas mag man dann doch lieber nicht zum Speichern seiner sensiblen Daten nutzen.
Bei dem was du planst (verteilter Zugriff auf einen Datenbestand), würde ich mir mal den ganzen iSCSI / AoE-Kram zusammen mit nem Cluster-Dateisystem ansehen. Alles andere bringt immer die Gefahr mit Daten zu überschreiben. Oder du baust deine Applikation so um, dass immer nur zu einem Server hochgeladen wird und verteilst dann ganz simpel mit rsync.
EDIT:
http://de.wikipedia.org/wiki/Global_File_System
http://de.wikipedia.org/wiki/Network_Block_Device
Re: NFS/IPtables
Welche deamons gestartet werden, kannst du in /etc/conf.d/nfs konfigurieren.volatile wrote:Naja ich schau grad mal NFSv4 an. Aber Gentoo startet mit dem nfs-initskript auch wieder den rpcbind, obwohl es den eigentlich gar net mehr braucht.
Das tut NFS4 auch... von daher.PapaBaer wrote: EDIT: OpenAFS / Coda is nen heftiger Aufriss, weil das ne Kerberos-Infrastruktur vorraussetzt,...
Re: NFS/IPtables
Also Rsync/Unison fällt flach. Dafür werden zuviele Dateien von den Webservern geschrieben. Unison hab ich mir genauer angeschaut. So schlecht ist das nicht - aber das kriegt immer Probleme weil sich Dateien zwischendurch ändern.
Zu NFSv4: Kannst du mal deine Config posten. Ich geb bei den OPTS -N 2,3 8 an, aber er startet trotzdem den RPC-Kram.
Zu NFSv4: Kannst du mal deine Config posten. Ich geb bei den OPTS -N 2,3 8 an, aber er startet trotzdem den RPC-Kram.
Re: NFS/IPtables
Portmap lässt sich per Config auf localhost binden und stört somit nicht mehr...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: NFS/IPtables
Bleibt aber dieser RPC-Kram. Und Sun vertritt die Ansicht, dass das ja toll ist wenn das überall lauscht und dafür gibts ja dann richtige Firewalls.
Hat jemand Erfahrung mit openafs. Kann man das an ein Interface binden?
Hat jemand Erfahrung mit openafs. Kann man das an ein Interface binden?
Re: NFS/IPtables
Portmap = RPC
Und @localhost stört es nun wirklich nicht...
Und @localhost stört es nun wirklich nicht...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: NFS/IPtables
Die meisten clients bleiben aber trotz config des portmap listen *
Ich hab mich jetzt breitschlagen lassen und iptables eingeschaltet. Naja wat solls.
Ich hab mich jetzt breitschlagen lassen und iptables eingeschaltet. Naja wat solls.