как ограничить доступ не по IP, а по eth0

iptables

чтобы только адреса из внутренней сети, что на eth1, могли подключаться к nfs-серверу

Ничего не понял. Адреса из внутренней сети - это не диапазон IP?

Спасибо

Почитал про iptables, стало понятно как это сделать: я просто запрещу доступ снаружи со всех IP, зарезервированных для домашней сети: iptables -I INPUT -i eth0 -s 192.168.0.0/24 -j DROP iptables -I OUTPUT -i eth0 -s 192.168.0.0/24 -j DROP И укажу диапазон 192.168.0.0/24 для NFS и DHCP серверов.

Опечатка

iptables -I OUTPUT -i eth0 -d 192.168.0.0/16 -j DROP

ещё одна

iptables -I OUTPUT -i eth0 -d 192.168.0.0/24 -j DROP

Что-то вы не то прочитали.

Поподробнее

Знаю, в «Спасибо» я опечатался, но я исправил опечатки, вот верная версия команд: iptables -I INPUT -i eth0 -s 192.168.0.0/24 -j DROP,

затем iptables -I OUTPUT -i eth0 -d 192.168.0.0/24 -j DROP. Или по-вашему, я неправ в другом?

Вот ситуация в целом: я ставлю себе домашний сервак на Debian 8, который через eth0 подключается к провайдеру по L2TP, а через eth1 раздает инет всем остальным. Поскольку у меня только *nix машины, то для обмена файлами я выбрал NFS. При этом я не хочу, чтобы директория на сервере для обмена файлами была недоступна из внешней сети, поэтому с помощью этих двух команд я блокирую все пакеты, которые пытаются прийти из внешней сети с IP, зарезервированных под домашнюю, и все пакеты, который уходят во внешнюю на адреса для домашней.

В чём моя ошибка? Пожалуйста, поподробнее.

Опечатка

*хочу, чтобы директория на сервере для обмена файлами была недоступна из внешней сети

Ну так и укажи в export свою локальную подсеть.

Хм, Вас смущает только доступ к ресурсам nfsd ? Если да, то выше вам уже ответили Настройка NFS (комментарий)
Но я бы на вашем месте почитал «немножко» теории, в частности по iptables есть http://www.opennet.ru/docs/RUS/iptables/ - очень «посвящает»

Спасибо

Я обязательно прочту данную документацию по iptables. Меня смущает то, что в документации на NFS, которую я нашел, указано только ограничение по диапазону IP, а не по eth. Я беспокоюсь, что кто-нибудь из внешней сети подключиться по IP в диапазоне домашних и получит доступ к NFS. Или Вы хотите сказать, что если адрес уже указан в диапазоне для домашних в настройках DHCP, то он не может быть подключен из внешней, и дополнительные настройки не нужны?

«немножко» теории, в частности по iptables

Тут надо начинать сначала, с TCP/IP хотя бы.

Уф, выдохнул.

Или Вы хотите сказать, что если адрес уже указан в диапазоне для домашних в настройках DHCP, то он не может быть подключен из внешней, и дополнительные настройки не нужны?

Нет, не уверен, с такими познаниями простите я даже боюсь представить что там наверчено. И даже не уверен что DHCP не причем.
Еще раз рекомендую: сначала «читай теорию, много много» потом «ставь сервер».

Благодарю

Я и читаю: сервер ещё не куплен. Как Вы верно заметили, я новичок, и это мой первый сервер. Какую ещё документацию Вы можете посоветовать мне почитать, чтобы поставить хотя-бы примитивный сервер с файлообменником?

Большое спасибо за Вашу помощь.

В старые времена я бы посоветовал LNAG однозначно. Но сейчас я не уверен что ТС осилит, поэтому пошел сложным путем :)

при работе с iptables руководствуйся этим https://www.frozentux.net/documents/iptables-tutorial/ Оно покрывает многое.

Да, и не слушай никого. Метод научного тыка пора еще работает. Практика - лучшее обучение.

Спасибо

Скачал LNAG в pdf, прочту. Хотя я новичок, я имею опыт чтения английской документации.

Спасибо

Надеюсь, Вы правы.

Конечно, прав. Тут многие так «учились». Ничего лучше решения реальной задачи для обучения попросту нет.

Благодарю

Мне тоже так кажется.

Добрый я сегодня чего-то... Понимаете ли, есть разница между:

«документацию мне почитать, чтобы поставить хотя-бы примитивный сервер с файлообменником?»

и пониманием что и зачем делаете. Примитивный «файлобменник» из каробки практически в любом современном дистре идет.
Вам же рекомендую начинать не с «построить», а почитать теорию хотя бы про тот же tcp/ip (как советовали выше) но не ограничиваясь только этим, почитайте какие сервера для обмена файлами существуют (samba, ftp, nfs, webdav да много их ) их плюсы минусы и т.д. и как их «готовить»

Он на русском уже мноого лет есть.

Благодарю

Я тоже понимаю разницу между сервером, поставленным по чужим инструкциям, и глубоким пониманием происходящего. Я ставлю этот сервер сугубо для экспериментов и обучения. Но чтобы начать, надо чтоб он хоть как-то работал. И разумеется, я не собираюсь останавливаться на достигнутом и буду продолжать своё обучение, вероятно, всю жизнь. Но я хочу свой «полигон» для испытаний навыков от чтения теории.

Спасибо

Его я тоже скачаю.

В современном мире, виртуалка в помощь. А поднимать сервера открытые в инет очень не рекомендую, «привет ботнет». Вобщем обучайтесь с серверами на виртуальных-системах/отдельно-стоящих-компах но которые закрыты (пусть и не умелыми руками китайцев) от внешнего доступа.

Благодарю

Но нет машин для виртуализации, компьютер, с которого я пищу, имеет 1200 мегагерц и всего 700 мегов оперативки. И каковы варианты заражения серверов на линуксе, там же почти нет вирусов, а пароли я задаю сложные?

А что лично Вы посоветуете?

Вобщем обучайтесь с серверами на отдельно-стоящих-компах но которые закрыты (пусть и не умелыми руками китайцев) от внешнего доступа.
поправил.

Большое спасибо за помощь.

А какие варианты включения в ботнет есть Вы знаете, если у меня на всех компах *nix?

Печенья закончились.

В инете много статей с готовыми решениями. Сделай то и это и будет тебе счастье. Не всегда то что работает у кого-то, сразу заработает и у тебя, зависит от многих факторов. Из опыта, быстрее не получится пока сам не разберешься. Начинать лучше с официальной документации, на сайте продукта. Полезно понимать английский. Документы с названием HAWTO, наверняка будут тебе полезны.

Про сеть, хоть и старый но полезный NET-3-HOWTO.

Большое спасибо