Hallo,
ich habe ein kurioses NFS Zugriffs Problem bei einem Debian 10 NFS Server.
Ich habe folgenden Aufbau
NFS Server 192.168.1.20
NFS Client 192.168.2.54
dazwischen eine Iptables Firewall.
wenn ich in der Exports Datei 192.168.2.0/24 als Zugriff einrichte, kommt die Meldung accesss denied by Server.
192.168.3.0/22 funktioniert.
Wo soll da den bitte ein Unterschied sein?
NFSv4 Freigabe Berechtigungen
Re: NFSv4 Freigabe Berechtigungen
Mit NAT?
-
TomL
Re: NFSv4 Freigabe Berechtigungen
Das sind seit CIDR, also bereits im vorigen Jahrtaused schon *fg*, Netzwerk-Basics:
A = Zwei unterschiedliche Netze:
Code: Alles auswählen
Address: 192.168.1.20/24 11000000.10101000.00000001 .00010100
Address: 192.168.2.54/24 11000000.10101000.00000010 .00110110
Netmask: 255.255.255.0 11111111.11111111.11111111 .00000000Code: Alles auswählen
Address: 192.168.1.20/22 11000000.10101000.00000001 .00010100
Address: 192.168.2.54/22 11000000.10101000.00000010 .00110110
Address: 192.168.3.0/22 11000000.10101000.00000011 .00000000
Netmask: 255.255.252.0 11111111.11111111.11111100 .00000000Re: NFSv4 Freigabe Berechtigungen
Noch einmal
Der Server hat 192.168.1.20
Der Client hat 192.168.2.54
In der /etc/export
Wieso bekommt der Client 192.168.2.54 jetzt einen Access Denied by Server. Er ist doch im Netz 192.168.2.0/24
Wieso funktioniert aber das
Ich weiß das das 192.168.2.0/24 Netz in dem 192.168.3.0/22 Netz mit drin steckt.
Trotzdem müsste beides funktionieren.
Der Server hat 192.168.1.20
Der Client hat 192.168.2.54
In der /etc/export
Code: Alles auswählen
/srv/nfsv4 192.168.2.0/24(rw,sync,root_squash,no_subtree_check,fsid=0)
/srv/nfsv4/daten 192.168.2.0/24(rw,sync,root_squash,no_subtree_check)
Wieso funktioniert aber das
Code: Alles auswählen
/srv/nfsv4 192.168.3.0/22(rw,sync,root_squash,no_subtree_check,fsid=0)
/srv/nfsv4/daten 192.168.3.0/22(rw,sync,root_squash,no_subtree_check)
Trotzdem müsste beides funktionieren.
-
TomL
Re: NFSv4 Freigabe Berechtigungen
Wie ist die Subnetmask des gemeinsamen Netzes, in dem sich Client und Server befinden?
Re: NFSv4 Freigabe Berechtigungen
Server 192.168.1.20 255.255.255.0 Gateway 192.168.1.1
Client 192.168.2.54 255.255.255.0 Gateway 192.168.2.1
Iptables Firewall die beide Netze verbindet
eth0: 192.168.1.1 255.255.255.0
eth1: 192.168.2.1 255.255.255.0
Die Kommunikation wird auch durch die Firewall nicht geblockt.
Als Fehlermeldung kommt ja auch
Da die Fehlermeldung ja definitiv vom NFS Server kommt, bedeutet ja auch das der Client den Server erreicht und eine Antwort bekommt.
Würde die Firewall dazwischen funken, würde ja auch was anderes kommen.
Ausserdem kommt auch die Fehlermeldung wenn die Firewall Policy Accept all ist und dadurch alles offen ist.
deswegen verstehe ich ja auch nicht warum in der /etc/exports nur das fuktioniert.
Das besagt ja nur das alle Clients von 192.168.0.1 - 192.168.3.254 auf den Share zugreifen dürfen.
Hier sollten ja alle Clients von 192.168.2.1 - 192.168.2.254 zugreifen dürfen.
Client 192.168.2.54 255.255.255.0 Gateway 192.168.2.1
Iptables Firewall die beide Netze verbindet
eth0: 192.168.1.1 255.255.255.0
eth1: 192.168.2.1 255.255.255.0
Die Kommunikation wird auch durch die Firewall nicht geblockt.
Als Fehlermeldung kommt ja auch
Code: Alles auswählen
mount.nfs: access denied by server while mounting 192.168.1.20:/datenWürde die Firewall dazwischen funken, würde ja auch was anderes kommen.
Ausserdem kommt auch die Fehlermeldung wenn die Firewall Policy Accept all ist und dadurch alles offen ist.
deswegen verstehe ich ja auch nicht warum in der /etc/exports nur das fuktioniert.
Code: Alles auswählen
/srv/nfsv4 192.168.3.0/22(rw,sync,root_squash,no_subtree_check,fsid=0)
/srv/nfsv4/daten 192.168.3.0/22(rw,sync,root_squash,no_subtree_check)Hier sollten ja alle Clients von 192.168.2.1 - 192.168.2.254 zugreifen dürfen.
Code: Alles auswählen
/srv/nfsv4 192.168.2.0/24(rw,sync,root_squash,no_subtree_check,fsid=0)
/srv/nfsv4/daten 192.168.2.0/24(rw,sync,root_squash,no_subtree_check)Re: NFSv4 Freigabe Berechtigungen
Falls du es oben übersehen hast. Machen deine iptables-Regeln NAT?SirNibo hat geschrieben:21.07.2020 18:04:00Die Kommunikation wird auch durch die Firewall nicht geblockt.
Re: NFSv4 Freigabe Berechtigungen
Nicht auf diese 2 interface.
Aber wie schon gesagt. Wenn ich alle Regeln lösche und Firewall komplett öffne geht es auch nicht.
Aber wie schon gesagt. Wenn ich alle Regeln lösche und Firewall komplett öffne geht es auch nicht.
Re: NFSv4 Freigabe Berechtigungen
Oh, danke nochmal für den nat Tip
Beim löschen aller Iptables Regeln hatte ich vergessen das die nat kette davon nicht betroffen ist.
Als ich die Nat Kette gelöscht habe, ging es sofort
Wie muss ich den die SNAT Regel erstellen bei meiner firewall?
Sie hat 3 NICs
192.168.0.2 DMZ/Internet /dieses Interface würde ich gerne natten
192.168.1.1 Server LAN
192.168.2.1 Client LAN
Beim löschen aller Iptables Regeln hatte ich vergessen das die nat kette davon nicht betroffen ist.
Als ich die Nat Kette gelöscht habe, ging es sofort
Wie muss ich den die SNAT Regel erstellen bei meiner firewall?
Sie hat 3 NICs
192.168.0.2 DMZ/Internet /dieses Interface würde ich gerne natten
192.168.1.1 Server LAN
192.168.2.1 Client LAN
Zuletzt geändert von SirNibo am 21.07.2020 21:54:54, insgesamt 1-mal geändert.
Re: NFSv4 Freigabe Berechtigungen
Habs selber hinbekommen.
Ich vergaß anzugeben welche Netzwerkkarte zum Natten verwendet werden soll
Als ich das so aufgebaut habe, ging es sofort
Danke für die Hilfe.
Ich vergaß anzugeben welche Netzwerkkarte zum Natten verwendet werden soll
Code: Alles auswählen
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.2Code: Alles auswählen
iptables -t nat -A POSTROUTING -o enp0s3 -j SNAT --to-source 192.168.0.2