portmap an Interface binden?

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
knebb
Posts: 92
Joined: 2006-05-30 11:16
Location: M-V

portmap an Interface binden?

Post by knebb » 2006-06-11 20:41

Yohoo!

Ich möchte hier eine Struktur mit mehreren Web-Servern aufbauen, die aber alle auf ein gemeinsames Web-Verzeichnis via NFS zugreifen werden.

Jetzt brauche ich ja für den NFS-Client den Portmapper. Der wiederum hält per Default Port 111/tcp offen, auf auf dem Internetinterface. :cry:

Weiß jemand, wie ich dem beibringe, daß er ausschließlich auf der internen Netzwerkkarte lauschen soll?

Und, nein, eine Firewall ist keine Alternative, sondern nur Nothilfe.


Grüße

Christian

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: portmap an Interface binden?

Post by Joe User » 2006-06-11 21:06

Code: Select all

$commandline -l
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

knebb
Posts: 92
Joined: 2006-05-30 11:16
Location: M-V

Re: portmap an Interface binden?

Post by knebb » 2006-06-13 12:34

Joe User wrote:

Code: Select all

$commandline -l
Ich weiß ja nicht, welche Version Du verwendest. Die hier verwendete Version

Code: Select all

# rpm -qf /sbin/portmap
portmap-5beta-728.1
# cat /etc/issue
Welcome to SUSE LINUX Enterprise Server 9 (x86_64) - Kernel 2.6.5-7.252-smp.
# portmap --help
portmap: invalid option -- -
usage: portmap [-dv]
-d: debugging mode
-v: verbose logging
kennt in dieser Hinsicht jedoch keinen Parameter. Welche Version kann das?

Notfalls würde ich auch den Portmap aus dem srpm neu bauen...

darkman
RSAC
Posts: 111
Joined: 2004-03-24 14:09

Re: portmap an Interface binden?

Post by darkman » 2006-06-13 13:06

Hi,

der Portmapper hat tcpwrapper Support. Du kannst also via hosts.(allow|deny)
den Zugriff regulieren.

Gruss,
Darkman

knebb
Posts: 92
Joined: 2006-05-30 11:16
Location: M-V

Re: portmap an Interface binden?

Post by knebb » 2006-06-13 13:10

Darkman wrote: der Portmapper hat tcpwrapper Support. Du kannst also via hosts.(allow|deny)
den Zugriff regulieren.
Danke, aber diese Möglichkeit kenne ich. Das war aber nicht die Frage. Es ist nämlich unlogisch, etwas zu erlauben (=Port öffnen), nur um es danach wieder zu verbieten (=/etc/hosts.deny) :evil: Jeder offene Port in Richtung Internet ist eine Sicherheitsgefahr, egal, wie sicher er konfiguriert ist. :roll:

Sollte der portmap neben dem xntpd das zweite Linux-Programm sein, was sich nicht auf einzelne Interfaces einschränken läßt? 8O

Grüße

darkman
RSAC
Posts: 111
Joined: 2004-03-24 14:09

Re: portmap an Interface binden?

Post by darkman » 2006-06-13 13:22

Hi,

der originale afaik nicht, nein. Aber dafuer gibts eben den tcpwrapper
Support. Aehnlich wie bei iptables ist damit keine direkte Kommunikation
zum Programm moeglich sofern die IP nicht freigegeben ist. Damit ist
der Port quasi "zu".
Die iptables/Firewall-Variante waer noch sauberer da der Port dann von
aussen komplett zu ist (tcpwrapper akzeptiert die Verbindung ja initial
trotzdem).
Das das vlt. nicht die beste Loesung ist, mag sein, aber es ist nunmal
der Weg den man gehen "soll".

Wenn Du SLES verwendest solltest Du das mit dem SRPM auch eher sein lassen, weil:
1. Kein Support mehr fuer dieses RPM
2. Keine Updates mehr fuer dieses RPM

Wenn man schon "teure" Distributionen nimmt, sollte man moeglichst nahe
am "Standard" bleiben, das macht Maintenance etc. erheblich einfacher
und dafuer zahlt man immerhin.

Gruesse,
Darkman