NFS mount van achter router

Dit klinkt als een portmap verhaal. Het Grote Poortmappingsverhaal verteld je meer

Dat hangt nogal van je protocol af, voor NFS moet je op zijn minst poorten openen, en volgens mij moet je ze ook gewoon poortmappen naar de client, zeker als je een iets "dommere" server hebt. Effe zoeken op google welke poorten, en voila.

Zonder meteen in te gaan op waarom het niet werkt (dat weet ik zo ook niet), NFS is niet echt bedoeld voor gebruik over het internet. Vooral wat betreft de beveiliging vraag ik me af of dit zo handig is:

The Network File System (NFS) and Network Information Service (NIS) are notoriously easy ways to attack a system. [..] However, these services are not a problem if they are run in a protected environment (for example, behind a fire wall).

If you haven't properly protected your site, an attacker may be able to simply NFS-mount your filesystems. The way NFS works, client machines are allowed to read and change files stored on the server without having to log into the server or enter a password.

Because NFS doesn't log transactions, you might not even know that someone has full access to your files.

NFS, NIS, and other services have additional security vulnerabilities, both obvious and not so obvious. For example, NFS has very weak client authentication, and an attacker may be able to convince the NFS server that a request is coming from a client that is permitted in the exports file (the file that lets you specify which file systems can be mounted via NFS, and which other machines can mount them). There are also situations in which an attacker can hijack an existing NFS mount. (See the discussion of hijacking attacks later in this article.)

Maar ook door de betrouwbaarheid van de verbinding is NFS over het internet niet echt je dat: NFS gebruikt (gewoonlijk) UDP om data te transporteren, dus als er her en der wat pakketten droppen dan zal de performance niet geweldig zijn.


Is het misschien een idee om een VPN aan te leggen naar die server, zodat jouw computer gewoon in hetzelfde netwerk lijkt te zitten als die server? Dan kun je sowieso gewoon die NFS export mounten.

Ok, dit verschuift het probleem op zich alleen maar naar 'hoe leg ik een VPN aan door die router/firewall/etc. heen', maar dat is denk ik wel beschreven. En als je dat eenmaal werkend hebt, ben je ook voor eens en altijd hiervan af (i.p.v. dat het per app/service die je op de server wilt bereiken weer een uitzoekklus is).


Trouwens, om NFS te gebruiken moeten wel de nodige poorten open staan, o.a. Sun RPC dacht ik, en dan nog een specifiek voor NFS. In ieder geval zijn daar in de Linux implementatie ook wel de nodige bugs/exploits voor geweest, dus geloof me als ik zeg dat je deze niet rechtstreeks open wilt hebben naar het internet toe.

[ Voor 7% gewijzigd door Wilke op 15-12-2004 11:21 ]