RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

portmap an Interface binden?

https://www.rootforum.org/forum/viewtopic.php?t=41059

Page 1 of 1

portmap an Interface binden?

Posted: 2006-06-11 20:41
by knebb
Yohoo!

Ich möchte hier eine Struktur mit mehreren Web-Servern aufbauen, die aber alle auf ein gemeinsames Web-Verzeichnis via NFS zugreifen werden.

Jetzt brauche ich ja für den NFS-Client den Portmapper. Der wiederum hält per Default Port 111/tcp offen, auf auf dem Internetinterface. :cry:

Weiß jemand, wie ich dem beibringe, daß er ausschließlich auf der internen Netzwerkkarte lauschen soll?

Und, nein, eine Firewall ist keine Alternative, sondern nur Nothilfe.


Grüße

Christian

Re: portmap an Interface binden?

Posted: 2006-06-11 21:06
by Joe User

Code: Select all

$commandline -l

Re: portmap an Interface binden?

Posted: 2006-06-13 12:34
by knebb
Joe User wrote:

Code: Select all

$commandline -l
Ich weiß ja nicht, welche Version Du verwendest. Die hier verwendete Version

Code: Select all

# rpm -qf /sbin/portmap
portmap-5beta-728.1
# cat /etc/issue
Welcome to SUSE LINUX Enterprise Server 9 (x86_64) - Kernel 2.6.5-7.252-smp.
# portmap --help
portmap: invalid option -- -
usage: portmap [-dv]
-d: debugging mode
-v: verbose logging
kennt in dieser Hinsicht jedoch keinen Parameter. Welche Version kann das?

Notfalls würde ich auch den Portmap aus dem srpm neu bauen...

Re: portmap an Interface binden?

Posted: 2006-06-13 13:06
by darkman
Hi,

der Portmapper hat tcpwrapper Support. Du kannst also via hosts.(allow|deny)
den Zugriff regulieren.

Gruss,
Darkman

Re: portmap an Interface binden?

Posted: 2006-06-13 13:10
by knebb
Darkman wrote: der Portmapper hat tcpwrapper Support. Du kannst also via hosts.(allow|deny)
den Zugriff regulieren.
Danke, aber diese Möglichkeit kenne ich. Das war aber nicht die Frage. Es ist nämlich unlogisch, etwas zu erlauben (=Port öffnen), nur um es danach wieder zu verbieten (=/etc/hosts.deny) :evil: Jeder offene Port in Richtung Internet ist eine Sicherheitsgefahr, egal, wie sicher er konfiguriert ist. :roll:

Sollte der portmap neben dem xntpd das zweite Linux-Programm sein, was sich nicht auf einzelne Interfaces einschränken läßt? 8O

Grüße

Re: portmap an Interface binden?

Posted: 2006-06-13 13:22
by darkman
Hi,

der originale afaik nicht, nein. Aber dafuer gibts eben den tcpwrapper
Support. Aehnlich wie bei iptables ist damit keine direkte Kommunikation
zum Programm moeglich sofern die IP nicht freigegeben ist. Damit ist
der Port quasi "zu".
Die iptables/Firewall-Variante waer noch sauberer da der Port dann von
aussen komplett zu ist (tcpwrapper akzeptiert die Verbindung ja initial
trotzdem).
Das das vlt. nicht die beste Loesung ist, mag sein, aber es ist nunmal
der Weg den man gehen "soll".

Wenn Du SLES verwendest solltest Du das mit dem SRPM auch eher sein lassen, weil:
1. Kein Support mehr fuer dieses RPM
2. Keine Updates mehr fuer dieses RPM

Wenn man schon "teure" Distributionen nimmt, sollte man moeglichst nahe
am "Standard" bleiben, das macht Maintenance etc. erheblich einfacher
und dafuer zahlt man immerhin.

Gruesse,
Darkman
All times are UTC+01:00
Page 1 of 1