-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Ideen??
Und noch eine Antwort an mich selbst :)
Wie immer gilt: Wäre ich auf diese simple Idee doch schon eher
gekommen...
Ich habe auf dem Server die interne Firewall (kurz) abgeschaltet --
und siehe da: Knoppix 7.2 bootet via PXE; und das in
Hi,
kann man in der Firewall beim Logging nicht erkennen, welche Request sie gerade
abgelehnt hat?
Da ja wohl aktuell im Netz nicht viel los ist, sollte man die Anfragen für den
PXE doch schnell identifizieren können ...
tcpdump hilft dir wohl nicht viel außer du lässt einen weiteren Client
Hallo Michael,
Die Frage ist nun: Welche Ports müssen dazu _noch_ freigegeben werden?
Ich hatte bereits den Service nfs bei den allowed_ports
eingetragen. Das reichte für das Verbinden von einem gestarteten
Ubuntu-Client; nicht aber für einen PXE-Boot.
im Bezug auf NFS habe ich im Kopf:
man
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Hi.
Dazu kommt, dass v4 wohl nicht einen Port verwendet, sondern
immer wieder einen neuen Port aushandelt: das würde deine
Firewallprobleme erklären.
Ja, möglich - dann wäre die nächste Frage, wie ich
Knoppix usw beibringen kann, sich an NFS3 zu
Noch ein Nachtrag, der sich aber auf CentOS bezieht:
http://www.gtkdb.de/index_33_1632.html ---
Firewall konfigurieren
Das Network File System verwendet Remote Procedure Calls (RPC) zur
Zuweisung von dynamischen Ports. Da dies die Verwendung einer Firewall
erschwert, sollten Sie die
kann man in der Firewall beim Logging nicht erkennen, welche Request sie
gerade abgelehnt hat?
Wenn du mir sagst wo, kann ich gerne mal nachsehen :)
(im IPFire tauchen die DROPS in der dmesg auf -- wo stecken sie auf dem
Server?)
___
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Ja ... hier die letzten Ausgaben, bevor KNOPPIX bei eingeschalteter FW
stecken bleibt:
port 36187 unreachable
Ist das so ein zufällig ausgehandelter von NFS v.4?
- --
09:22:23.161499 IP (tos 0x0, ttl 64, id 30479, offset 0,
Das nehm ich an ... :( Aber da bin ich jetzt auch net fit Aber wenn du den
versuch mehrfach wiederholst, dann solltest du es ja sehen :)
-Original-Nachricht-
Betreff: Re: [lmn] /etc/exports auf Server?
Datum: Fri, 31 Oct 2014 09:25:24 +0100
Von: Michael Hagedorn
Aber wenn du den versuch mehrfach wiederholst, dann solltest du es ja
sehen
2. Durchlauf:
udp port 36835 unreachable
Sieht also alles nach dem schon erwähnten Konflikt
(port based) Firewall - NFS4 aus.
Ich habe zwischenzeitlich dies hier entdeckt:
cat /etc/default/nfs-kernel-server
-- To
mhmm ... und einfach irgendeine Maschine direkt im 10er Netz verwenden, geht
nicht?
Installationsaufwand ist ja Null. PXE sollte ihm ja nur sagen WO er sein Image
findet
-Original-Nachricht-
Betreff: Re: [lmn] /etc/exports auf Server?
Datum: Fri, 31 Oct 2014 09:48:44 +0100
Von:
mhmm ... und einfach irgendeine Maschine direkt im 10er Netz verwenden, geht
nicht?
Ja, da kannste Recht haben!
Ich fürchte allerdings auch, dass hier nicht mehr viele mitlesen. Der
Thread ist zu lang und unübersichtlich geworden.
Daher weiß ich auch nicht, ob andere aus der Liste mehr
hi,
Ich fürchte allerdings auch, dass hier nicht mehr viele mitlesen. Der
Thread ist zu lang und unübersichtlich geworden.
indeed. :-)
ich hab zwar nicht ansatzweise mitgelesen, und weiß auch nicht, ob es um
eine version 4.0 oder 4.1 oder höher geht, aber habt ihr das hier
bereits gemacht?
Also kurze Zusammenfassung
Stand der Dinge ist dieser:
Die Erweiterung des PXE-Boot auf dem linuxmuster-Server klappt --
solange man keine NFS-Shares benutzt.
Will man das dennoch tun, muss man momentan die FW auf dem
linuxmuster-Server abschalten -- dann werden auch die nfs-mounts z.B.
von
Hallo, Michael,
Du meintest am 31.10.14:
Und noch eine Antwort an mich selbst :)
Wie immer gilt: Wäre ich auf diese simple Idee doch schon eher
gekommen...
Ich habe auf dem Server die interne Firewall (kurz) abgeschaltet --
und siehe da: Knoppix 7.2 bootet via PXE; und das in einer SEHR
Hallo, jonny,
Du meintest am 31.10.14:
ich hab zwar nicht ansatzweise mitgelesen, und weiß auch nicht, ob es
um eine version 4.0 oder 4.1 oder höher geht, aber habt ihr das hier
bereits gemacht?
NFS requires rpcbind, which dynamically assigns ports for RPC
services and can cause problems
Hallo,
Will man das dennoch tun, muss man momentan die FW auf dem
linuxmuster-Server abschalten -- dann werden auch die nfs-mounts z.B.
von Knoppix beim PXE-Start eingebunden.
Diese FW kann ich aber kaum dauerhaft abschalten :)
das würde ich nicht tun.
Meiner Meinung nach habt ihr drei Wege
hallo helmut,
nmap PXE-Server-IP
zeigt zwar Port 111 (als offen) an, aber die Ports 67 bis 69 werden
von nmap nicht angezeigt (obwohl sie brav offen sind).
ich kenne zwar deine nmap defaults nicht, aber:
hast du auch auf udp gescannt? im normalfall muss man das nmap extra
sagen...
Hallo, jonny,
Du meintest am 31.10.14:
nmap PXE-Server-IP
zeigt zwar Port 111 (als offen) an, aber die Ports 67 bis 69
werden von nmap nicht angezeigt (obwohl sie brav offen sind).
ich kenne zwar deine nmap defaults nicht, aber:
hast du auch auf udp gescannt? im normalfall muss
Am 31.10.2014 um 13:17 schrieb jonny:
Will man das dennoch tun, muss man momentan die FW auf dem
linuxmuster-Server abschalten -- dann werden auch die nfs-mounts z.B.
von Knoppix beim PXE-Start eingebunden.
Diese FW kann ich aber kaum dauerhaft abschalten :)
nein. keine option!
Wieso ist
Hallo Dirk,
Will man das dennoch tun, muss man momentan die FW auf dem
linuxmuster-Server abschalten -- dann werden auch die nfs-mounts z.B.
von Knoppix beim PXE-Start eingebunden.
Diese FW kann ich aber kaum dauerhaft abschalten :)
nein. keine option!
Wieso ist das keine Option?
weil
Hallo nochmal,
jetzt kommt noch ein Problem dazu:
Ich kann mich als User rudolf an der Schulkonsole und an Horde anmelden,
aber nicht mehr an OpenPortfolio.
Hmm, das dürfte mit linuxmuster-setup --modify zusammenhängen ...
Herzliche Grüße
Jörg
Am 31.10.2014 um 17:00 schrieb Jörg Rudolf:
Hallo nochmal,
jetzt kommt noch ein Problem dazu:
Ich kann mich als User rudolf an der Schulkonsole und an Horde anmelden,
aber nicht mehr an OpenPortfolio.
Hmm, das dürfte mit linuxmuster-setup --modify zusammenhängen ...
Herzliche Grüße
Jörg
Am 31.10.2014 um 17:00 schrieb Jörg Rudolf:
Hallo Dominik,
hat alles gut geklappt, die Anleitung ist super :-).
Jedoch hatte ich einmal wieder das Problem, dass sich epoptes nicht starten
ließ. Nach einem /etc/init.d/epoptes restart ging es wieder. Das beobachte
ich jetzt mal, zur Not muss der Dienst evtl. z.B. über die /etc/rc.local
Hallo Dominik,
im zweiten Raum habe ich nun doch noch ein Problem gehabt. Der server.key
wurde vom postsync-skript nicht kopiert. Das lag reproduzierbar an den
Rechten (600), das habe ich auch mit anderen Dateien getestet. Ich habe
jetzt mal als Recht 644 gesetzt, dann geht es. Warum es beim
Was tatsächlich benutzt wird, das hängt vom jeweils abfragenden Client
ab,
Ja, und da liegt der Hase im Pfeffer: Offenbar ist es ein Unterschied,
ob ein gebooteter 14.04-Client einen NFS-Mount per
mount -t nfs4 ... abschickt (was er auch bei laufender FW
_erfolgreich_ schafft!) oder ob ein
3) NFS auf einen anderen Server auslagern
Ich habe mich für Weg 3 entschieden, der SOFORT lief!
Und ich habe es sogar gewagt, einfach den IPFire zu wählen. Der läuft
bei uns virtualisiert unter Proxmox und somit auf der gleichen Kiste wie
der ebenfalls virtualisierte linuxmuster-Server.
Das
Hallo Michael,
3) NFS auf einen anderen Server auslagern
Ich habe mich für Weg 3 entschieden, der SOFORT lief!
Und ich habe es sogar gewagt, einfach den IPFire zu wählen.
es freut mich, dass es funktioniert .. aber die IPFire für sowas zu
verwenden halte ich für eine noch schlechtere Idee
hallo,
Es muss noch irgend etwas anderes sein, was Knoppix bzw der
PXE-Boot-Prozess anders macht als ein gestarteter Ubuntu-Client.
nfs ist ein gewachsenes ding (und war noch nie mein freund...).
eine mögliche erklärung (und _sehr_ vereinfacht):
die benutzung von tcp oder udp ist wahlfrei.
bei
Michael Hagedorn schrieb:
3) NFS auf einen anderen Server auslagern
Ich habe mich für Weg 3 entschieden, der SOFORT lief!
Und ich habe es sogar gewagt, einfach den IPFire zu wählen. Der läuft
auf einer firewall hat kein nicht firewall dienst was zu suchen!
jonny
Holger Baumhof schrieb:
Wie sagten es die Jungs von IPCop immer: eine Firewall ist eine Firewall
ist eine Firewall. Und so würde ich das auch empfehlen: jeder
zusätzliche Dienst auf der Firewall ist eine Gefahr für das gesammte Netz.
oh, zu hastig geantwortet :-)
aber trotzdem hierzu nochmal
Hallo, Holger,
Du meintest am 31.10.14:
Wie sagten es die Jungs von IPCop immer: eine Firewall ist eine
Firewall ist eine Firewall. Und so würde ich das auch empfehlen:
jeder zusätzliche Dienst auf der Firewall ist eine Gefahr für das
gesammte Netz.
Hat zwar nichts speziell mit der
31 matches
Mail list logo
