PXEBOOT,TFTPD-HPA和防火墙

时间:2019-11-29 13:09:58

标签: firewall iptables tftp

我已经设置了一个pxeboot,它基本上可以正常工作。我可以运行任何已配置的linux映像。

然后我启用了防火墙,为TFTP释放了UDP端口69

~# iptables -L |grep tftp
    ACCEPT     udp  --  anywhere             anywhere             udp dpt:tftp
    ACCEPT     udp  --  anywhere             anywhere             udp dpt:tftp

    ~# netstat -tulp|grep tftp
    udp        0      0 0.0.0.0:tftp            0.0.0.0:*                                                                                                                                                                                        15869/in.tftpd
    udp6       0      0 [::]:tftp               [::]:*                                                                                                                                                                                           15869/in.tftpd

    ~# cat /etc/services|grep tftp
    tftp            69/udp

现在当pxeboot拉tftp://192.168.0.220/images/pxelinux.0(rc = 4c126035)时我超时了。 此处的任何地方都可以,因为pxeserver和路由器之间还有另一个防火墙在运行,该防火墙可以阻止来自WAN的不必要的一切/

有趣的部分是tcpdump显示请求是在pxeboot服务器上传入的:

~# tcpdump port 69
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp5s0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:00:47.062723 IP 192.168.0.136.1024 > mittelerde.tftp:  47 RRQ "images/pxelinux.0" octet blksize 1432 tsize 0
14:00:47.415412 IP 192.168.0.136.1024 > mittelerde.tftp:  47 RRQ "images/pxelinux.0" octet blksize 1432 tsize 0
14:00:48.184506 IP 192.168.0.136.1024 > mittelerde.tftp:  47 RRQ "images/pxelinux.0" octet blksize 1432 tsize 0
14:00:49.722630 IP 192.168.0.136.1024 > mittelerde.tftp:  47 RRQ "images/pxelinux.0" octet blksize 1432 tsize 0
14:00:52.798136 IP 192.168.0.136.1024 > mittelerde.tftp:  47 RRQ "images/pxelinux.0" octet blksize 1432 tsize 0

一旦我停止了防火墙服务,pxeboot就会再次正常运行。当然,conntrack模块已加载:

~# lsmod|grep conntrack
nf_conntrack_tftp      16384  0
nf_conntrack_ftp       20480  0
xt_conntrack           16384  4
nf_conntrack_ipv4      16384  20
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
nf_conntrack          131072  9 xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ipv4,nf_nat,nf_conntrack_tftp,ipt_MASQUERADE,nf_nat_ipv4,xt_nat,nf_conntrack_ftp
libcrc32c              16384  2 nf_conntrack,nf_nat
x_tables               40960  8 xt_conntrack,iptable_filter,xt_multiport,xt_tcpudp,ipt_MASQUERADE,xt_nat,xt_comment,ip_tables

我在这里想念什么?

1 个答案:

答案 0 :(得分:0)

问题解决了。对于tftpd-hpa,还必须打开以下UDP端口:

1024
49152:49182