forum.opsi.org

opsi support forum
https://forum.opsi.org/

Opsi4Ucs: PXE und Firewall

https://forum.opsi.org/viewtopic.php?t=9602

Seite 1 von 1

Opsi4Ucs: PXE und Firewall

Verfasst: 16 Okt 2017, 17:06
von MyKey0815
Habe jetzt das Problem, die richtige Konfiguration der Firewall bei UCS zu bekommen.

Als DHCP-Server fungiert mein Router - der kann keine weiteren Optionen setzen. Darum hab ich dnsmasq auf dem UCS/OPSI installiert

Code: Alles auswählen


interface=eth0

# Don't function as a DNS server:
port=0

# Log lots of extra information about DHCP transactions.
log-queries

# This range(s) is for the public interface, where dnsmasq functions
# as a proxy DHCP server providing boot information but no IP leases.
# Any ip in the subnet will do, so you may just put your server NIC ip here.
dhcp-range=192.168.2.0,proxy,5m

# The boot filename.
dhcp-boot=pxelinux.0,192.168.2.40,192.168.2.0

# kill multicast
dhcp-option=vendor:PXEClient,6,2b

# Disable re-use of the DHCP servername and filename fields as extra
# option space. That's to avoid confusing some old or broken DHCP clients.
dhcp-no-override

# PXE menu
# pxe-prompt="Press F8 for boot menu", 3

# The known types are x86PC, PC98, IA64_EFI, Alpha, Arc_x86,
# Intel_Lean_Client, IA32_EFI, BC_EFI, Xscale_EFI and X86-64_EFI
pxe-service=X86PC, "Boot from network", pxelinux


#enable-tftp
tftp-root=/tftpboot/linux
Dann habe ich die Firewall-Regeln entsprechend angepasst

Code: Alles auswählen

ucr set security/packetfilter/udp/69/all=ACCEPT
Und folgenden Eintrag in der /etc/security/packetfilter.d/50_local.sh vorgenommen (http://unix.stackexchange.com/questions ... ftp-server):

Code: Alles auswählen

modprobe ip_conntrack_tftp
modprobe ip_conntrack_ftp
/sbin/iptables -A INPUT -s 192.168.2.0/24 -p "udp" --dport 69 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -s 192.168.2.0/24 -p "tcp" --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.2.0/24 -p "tcp" --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
Leider kann ich aber nur dann per PXE einen Client booten, wenn die Firewall aus ist. Sobald ich die wieder einschalte, geht das PXE-Booten nicht mehr . Was für Anpassungen sind noch zu machen und kann es sein, das der Opsi4Ucs-Script das nicht setzt?

Re: Opsi4Ucs: PXE und Firewall

Verfasst: 16 Okt 2017, 19:34
von dropped91
Hi,

was sagt denn tcpdump dazu?


Gruß
dropped

Re: Opsi4Ucs: PXE und Firewall

Verfasst: 17 Okt 2017, 11:19
von MyKey0815
dropped91 hat geschrieben: was sagt denn tcpdump dazu?
Leider ist mit das Werkzeug nicht so geläufig, dass ich da eine Aussage mit treffen kann ;-) Denke ja, das es bei anderen Anwendern wohl auch schon vorgekommen ist und die Firewall "angepasst" wurde

Re: Opsi4Ucs: PXE und Firewall

Verfasst: 17 Okt 2017, 13:52
von n.wenselowski
Hi,

bisher war für mich die Installation von opsi4ucs immer ausreichend, da dort Einschränkungen zu tftp entfernt werden.
Check doch mal bitte, ob das bei dir noch der Fall ist.


Gruß

Niko
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de