<div dir="ltr">Thanks for the replies! I now understand what these targets are used for.<div><br></div><div>In our setup, the rack controller is indeed the same as the region controller. I've fixed the problem using a firewall rule. For reference:</div><div><br></div><div>    ufw allow from <a href="http://10.0.0.1/16">10.0.0.1/16</a> port 3260 proto tcp</div><div>    ufw deny 3260/tcp<br></div><div><br></div><div>Best,</div><div>Jonas</div><div><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 29, 2016 at 3:58 PM Brendan Donegan <<a href="mailto:brendan.donegan@canonical.com">brendan.donegan@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg">iSCSI targets are actually exposed on the *rack* controller, which may or may not be the same system as the region controller. So you could have your rack controllers screened off on the internal network - as long as they can still communicate with the region controller.<br class="gmail_msg"></div><br class="gmail_msg"><div class="gmail_quote gmail_msg"></div><div class="gmail_quote gmail_msg"><div dir="ltr" class="gmail_msg">On Tue, 29 Nov 2016 at 14:46 Mark Shuttleworth <<a href="mailto:mark@ubuntu.com" class="gmail_msg" target="_blank">mark@ubuntu.com</a>> wrote:<br class="gmail_msg"></div></div><div class="gmail_quote gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 29/11/16 04:37, Jonas Wagner wrote:<br class="gmail_msg">
> I'd like to ask a question about how MAAS uses iSCSI. Apparently, the<br class="gmail_msg">
> MAAS region controller exposes iSCSI targets for supported Ubuntu<br class="gmail_msg">
> images. These are flagged as vulnerable by the Nessus scanner running<br class="gmail_msg">
> at our university.<br class="gmail_msg">
><br class="gmail_msg">
> I've described this in more detail here:<br class="gmail_msg">
> <a href="https://askubuntu.com/questions/847854/maas-disable-iscsi-or-require-authentication" rel="noreferrer" class="gmail_msg" target="_blank">https://askubuntu.com/questions/847854/maas-disable-iscsi-or-require-authentication</a><br class="gmail_msg">
><br class="gmail_msg">
> I would be curious as to how MAAS uses these iSCSI targets. Is it<br class="gmail_msg">
> possible to make them available to the internal network only (where<br class="gmail_msg">
> the MAAS-managed cluster is) rather than the region controller's<br class="gmail_msg">
> external interface? Would MAAS break if we close the corresponding<br class="gmail_msg">
> ports in our firewall?<br class="gmail_msg">
<br class="gmail_msg">
I believe these are currently read-only boot volumes for ephemeral (i.e.<br class="gmail_msg">
ramdisk) Ubuntu used for enlistment and commissioning, as well as the OS<br class="gmail_msg">
installer during deployment. They should only need to be accessed by<br class="gmail_msg">
machine being enlisted, commissioned and deployed, so yes, it should be<br class="gmail_msg">
fine (and sensible) to screen them off.<br class="gmail_msg">
<br class="gmail_msg">
Mark<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg"></blockquote></div><div class="gmail_quote gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
--<br class="gmail_msg">
Maas-devel mailing list<br class="gmail_msg">
<a href="mailto:Maas-devel@lists.ubuntu.com" class="gmail_msg" target="_blank">Maas-devel@lists.ubuntu.com</a><br class="gmail_msg">
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/maas-devel" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.ubuntu.com/mailman/listinfo/maas-devel</a><br class="gmail_msg">
</blockquote></div></blockquote></div></div></div>