LANでタイムマシンバックアップを実行できるように、AFPサーバーとしてnetatalkを実行しています。 iptablesがLANからのすべての着信トラフィックを許可する限り、完全に機能しますが、サーバーのセキュリティを強化したいので、デフォルトのiptables入力ポリシーをREJECTに設定し、Time Machineで必要なポートを開く必要があります。私は[ferm][1]
iptablesを設定するために使用します。
次のルールを追加しましたferm.conf
。
proto tcp saddr $LAN_SUBNET dport afpovertcp ACCEPT;
次の iptable ルールを生成します。
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport afpovertcp --jump ACCEPT
ただし、FinderでWebを閲覧してもTime Machineサーバーは表示されません。
LANのトラフィックのために他のどのポートを開くべきですか?
答え1
次のポートが開いており、現在のTime Machineバックアップが動作しています。
afpovertcp mdns svrloc at-rtmp at-nbp at-echo at-zis 1900
iptablesルールを作成するために、以下を追加しましたferm.conf
。
# netatalk daemon ports for AFP Time Machine server
@def $PORT_TIME_MACHINE = (afpovertcp mdns svrloc at-rtmp at-nbp at-echo at-zis 1900);
# allow AFP connentions on for Time Machine on LAN
proto (udp tcp) saddr $LAN_SUBNET dport $PORT_TIME_MACHINE ACCEPT;
新しいiptablesルール:
-A INPUT --protocol udp --source 192.168.42.0/24 --dport afpovertcp --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport mdns --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport svrloc --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport at-rtmp --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport at-nbp --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport at-echo --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport at-zis --jump ACCEPT
-A INPUT --protocol udp --source 192.168.42.0/24 --dport 1900 --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport afpovertcp --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport mdns --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport svrloc --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport at-rtmp --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport at-nbp --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport at-echo --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport at-zis --jump ACCEPT
-A INPUT --protocol tcp --source 192.168.42.0/24 --dport 1900 --jump ACCEPT
次のリソースが役立ちます。Arch WikiのNetatalk記事;Appleソフトウェア製品で使用されるTCPおよびUDPポート