-----Mensaje original----- De: Carlos Andrés Martín [mailto:[email protected]] Enviado el: jueves, 20 de octubre de 2016 10:36 a. m. Para: [email protected] Asunto: Re: Consulta iptables
El 20/10/16 a las 10:31, Javier Marcon escribió: > El 20/10/16 a las 10:24, Romero, Fernando escribió: >> Hola como están, tengo un tema con iptables. >> Necesito que una ip especifica este habilitada para conectarse a un nfs, >> estoy tratando de filtrar por iptables. >> La regla que cree es la siguiente: >> >> iptables -A INPUT -s x.x.x.x -m state --state NEW -p tcp --dport 2049 -j >> ACCEPT (donde x.x.x.x es la ip que quiero habilitar) supongo que yo agregaría "--state NEW, ESTABLISHED" para que cualquier conexión derivada de la anterior sea aceptada también. >> Si consulto las reglas me muestra que la creo >> >> [email protected] ~ # iptables -nL >> Chain INPUT (policy ACCEPT) >> target prot opt source destination >> ACCEPT tcp -- x.x.x.x 0.0.0.0/0 state NEW tcp >> dpt:2049 >> >> Chain FORWARD (policy ACCEPT) >> target prot opt source destination >> >> Chain OUTPUT (policy ACCEPT) >> target prot opt source destination >> >> Pero cuando quiero montar el nfs me tira error. >> >> [root@localhost ~]# mount x.x.x.x:/backup /backup >> mount.nfs: No such device quizás te haga falta especificar el port... "mount x.x.x.x:2049/backup /backup" >> >> Me estoy equivocando con la regla? >> >> Gracias y saludos >> >> > Esa regla no haría nada porque según lo que mostras tenes el policy > de INPUT en Accept, entonces si no estuviese esa regla, acepta igual > porque cae por el policy. > > Distinto fuese si tuvieses el policy on DROP o REJECT, en cuyo caso > tendrías que tener una regla que acepte los paquetes established y > related porque esta regla solo deja pasar los new. Lo mismo pasaría si > tuvieses el policy de Output en drop o reject. Totalmente de acuerdo... sospecho que el problema no está en el 'iptables' > Saludos, > > Javier. > Le agrego el puerto para mapearlo y me tira error igual, si miro los puertos desde el equipo remoto me lo muestra PORT STATE SERVICE 111/tcp open rpcbind 2049/tcp open nfs
