centos:pxe_c7:tftp

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:pxe_c7:tftp [05.01.2017 13:20. ] – [Systemstart] djangocentos:pxe_c7:tftp [22.07.2019 14:54. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 353: Zeile 353:
 Das Ganze geht natürlich auch schneller als "Einzeiler": Das Ganze geht natürlich auch schneller als "Einzeiler":
    # tftp 10.0.0.57 -c get test    # tftp 10.0.0.57 -c get test
 +
 +==== Fehlerbehandlung ====
 +Klappt der Download von unserem Clientrechners nicht, trotz funktionierendem Zugriff nicht, liegt es an den Paketfilterregelungen auf dem **Clientrechner**! Wie man in folgendem Beispiel sieht laufen wir hier in einen timeout: 
 +   # tftp -v 10.0.0.57 -c get test
 +
 +   Connected to 10.0.0.57 (10.0.0.57), port 69
 +   getting from 10.0.0.57:test to test [netascii]
 +   Transfer timed out.
 +
 +Was ist nun passiert? Auf dem Client gibt es doch keine iptables-Regel, die den Datentransfer beschneidet:
 +   # iptables -L
 +<code>Chain INPUT (policy ACCEPT)
 +target     prot opt source               destination         
 +ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
 +ACCEPT     icmp --  anywhere             anywhere            
 +ACCEPT     all  --  anywhere             anywhere            
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
 +REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
 +
 +Chain FORWARD (policy ACCEPT)
 +target     prot opt source               destination         
 +REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
 +
 +Chain OUTPUT (policy ACCEPT)
 +target     prot opt source               destination
 +</code>
 +
 +Auf unserem TFTP-Server haben wir doch auch Port **69** freigeschaltet:
 +   # firewall-cmd --zone=public --list-services
 +
 +  tftp dhcpv6-client http ssh
 +
 +Im Syslog des TFTP-Servers sehen wir nur die Folgende Fehlermeldung:
 +   Jan 8 07:49:14 vml000057 in.tftpd[10031]: tftpd: read(ack): No route to host
 +
 +<WRAP center round tip 90%>
 +Die Ursache ist ganz einfach erklärt. TFTP nutzt für die Steuerung Port **69**, für die Datenübertragung werden dann aber beliebige highports genutzt. Damit diese nun unseren Paketfilter passieren können, müssen wir an dem betreffenden (Test-)Clientsystem, oder einem internen Paketfilter der unterschiedliche Sicherheitszonen trennt, die folgenden iptables-Module laden.
 +  * **ip_conntrack_tftp**
 +  * **ip_nat_tftp**
 +</WRAP>
 +
 +Auf einem **//CentOS 7 System//** benutzen wir zur Aktivierung der beiden Module die Datei //**/etc/modules-load.d/iptables.conf**//.
 +   # vim /etc/modules-load.d/iptables.conf
 +<file bash /etc/modules-load.d/iptables.conf># Django : 2016-01-08 - Zum Testen des TFTP-Servers nötige Änderungen
 +# default: none
 +ip_nat_tftp
 +ip_conntrack_tftp</file>
 +
 +Zum Aktivieren starten wir den betreffenden Host einmal durch.
 +   # systemctl reboot
 +
 +Auf einem **//CentOS 6 System//** geschieht dies über die Konfigurationsdatei **iptables-config** des Paketfilter-Regelwerkes **iptables**. Dort tragen wir bei den **nat helpers** die beiden Module nach: 
 +   # vim /etc/sysconfig/iptables-config
 +<code bash>
 +# Django 2011-11-24 Freischaltungen für TFTP-Transfers
 +# default : IPTABLES_MODULES=""
 +IPTABLES_MODULES="ip_conntrack_tftp ip_nat_tftp"
 +</code>
 +Anschließend starten wir unseren iptables-Paketfilter einmal durch.
 +   # service iptables restart
 +
 +   iptables: Flushing firewall rules:                          OK  ]
 +   iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
 +   iptables: Unloading modules:                                OK  ]
 +   iptables: Applying firewall rules:                          OK  ]
 +   iptables: Loading additional modules: ip_conntrack_tftp ip_[  OK  ]
 +
 +Nun versuchen wir erneut unsere Testdatei vom TFTP-Server herunterzuladen , was natürlich Dank unserer Anpassungen nun erfolgreich funktioniert.
 +   $ tftp 10.0.0.57 -v -c get test
 +
 +   Connected to 10.0.0.57 (10.0.0.57), port 69
 +   getting from 10.0.0.57:test to test [netascii]
 +   Received 69 bytes in 0.1 seconds [6073 bit/s]
 +
 +Im Syslog unseres TFTP-Servers wird der erfolgreiche Dateitransfer entsprechend protokolliert.
 +  Nov 24 09:14:30 vml000057 xinetd[7708]: START: tftp pid=10145 from=10.0.0.107
 +  Nov 24 09:14:30 vml000057 in.tftpd[10146]: RRQ from 10.0.0.107 filename test
 +
 +====== Links ======
 +  * **[[centos:pxe_c7:start|Zurück zum Kapitel >>PXE-Boot-Server unter CentOS 7.x einrichten<<]]**
 +  * **[[wiki:start|Zurück zu Projekte und Themenkapitel]]**
 +  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
  
  • centos/pxe_c7/tftp.1483622423.txt.gz
  • Zuletzt geändert: 05.01.2017 13:20.
  • von django