je suis dans NFS et je rencontre qqs problème pour configurer
correctement mon firewall côté client et côté serveur (2 machines
différentes).
sur 192.168.0.a il y a le serveur NFS
sur 192.168.0.b il y a le client NFS
j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et
aussi l'original en anglais pour le "forçage" des ports.
donc j'ai sur le serveur :
# rpc.statd : 32765 et 32766 (outgoing)
# rpc.mountd : 32767
# rpc.lockd : 32768
dans mon script firewall sur le serveur j'ai :
#pour NFS
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT
sur le client j'ai du graphique avec firestarter :
j'ai le 32766 ouvert en sortie.
dans le howto ils mettent juste :
iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT
iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT
je trouve ça un peu bourrin. Si qqn pouvait m'aider à faire un réglage
plus fin...en effet je ne sais pas ce qu'il faut que je fasse pour lockd...
Merci d'avance
Guillaume
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et aussi l'original en anglais pour le "forçage" des ports.
Cela me rapelle quelque chose :p!
donc j'ai sur le serveur : # rpc.statd : 32765 et 32766 (outgoing) # rpc.mountd : 32767 # rpc.lockd : 32768
dans mon script firewall sur le serveur j'ai : #pour NFS iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT ## vu ds le NFS-HOWTO iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT ## vu ds le NFS-HOWTO iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac -j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 111 -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 2049 -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 32765:32768 -j ACCEPT iptables -A lan_in_new -p udp --dport 111 -j ACCEPT iptables -A lan_in_new -p udp --dport 2049 -j ACCEPT iptables -A lan_in_new -p udp --dport 32765:32768 -j ACCEPT
J'ai simplement verouille un peu plus en ajoutant les --syn pour le protocol tcp. De plus la chaine utilisateur lan_in_new recupere les paquets provenant du reseau local et dont l'etat est qualifie par NEW.
Les paquets qualifies comme RELATED et ESTABLISHED sont acceptes aussi mais dans un autre morceau du script.
Pour ce qui est de l'adresse mac, je n'en ai pas tenu compte, et j'ai verrouille du cote de /etc/hosts.allow comme je l'ai ecris dans le lien que tu as mentionne. L'utilisation de mac-source obligerait a dupliquer les regles pour chaque client suceptible de vouloir un acces sur le serveur NFS.
sur le client j'ai du graphique avec firestarter : j'ai le 32766 ouvert en sortie.
dans le howto ils mettent juste : iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT
C'est le client qui initie les connexions sur le serveur NFS, donc le client devrait recevoir des paquets ESTABLISHED, voir peut etre RELATED (je ne sais pas) de la part du serveur ; donc pas d'etat NEW. J'aurais travaille sur les 4 ports (32765:32768), sans m'amuser a savoir comment les differents services interagissaient entre le client et le serveur.
Arriver a ce niveau la, je pense que c'est tout de meme bien verrouille en supposant que la gestion des paquets soit aussi effectuee sur la chaine OUTPUT cote serveur et client.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et
aussi l'original en anglais pour le "forçage" des ports.
Cela me rapelle quelque chose :p!
donc j'ai sur le serveur :
# rpc.statd : 32765 et 32766 (outgoing)
# rpc.mountd : 32767
# rpc.lockd : 32768
dans mon script firewall sur le serveur j'ai :
#pour NFS
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 111 -j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 2049 -j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 32765:32768 -j ACCEPT
iptables -A lan_in_new -p udp --dport 111 -j ACCEPT
iptables -A lan_in_new -p udp --dport 2049 -j ACCEPT
iptables -A lan_in_new -p udp --dport 32765:32768 -j ACCEPT
J'ai simplement verouille un peu plus en ajoutant les --syn pour le
protocol tcp. De plus la chaine utilisateur lan_in_new recupere les
paquets provenant du reseau local et dont l'etat est qualifie par NEW.
Les paquets qualifies comme RELATED et ESTABLISHED sont acceptes aussi
mais dans un autre morceau du script.
Pour ce qui est de l'adresse mac, je n'en ai pas tenu compte, et j'ai
verrouille du cote de /etc/hosts.allow comme je l'ai ecris dans le
lien que tu as mentionne. L'utilisation de mac-source obligerait a
dupliquer les regles pour chaque client suceptible de vouloir un acces
sur le serveur NFS.
sur le client j'ai du graphique avec firestarter :
j'ai le 32766 ouvert en sortie.
dans le howto ils mettent juste :
iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT
iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT
C'est le client qui initie les connexions sur le serveur NFS, donc le
client devrait recevoir des paquets ESTABLISHED, voir peut etre RELATED
(je ne sais pas) de la part du serveur ; donc pas d'etat NEW. J'aurais
travaille sur les 4 ports (32765:32768), sans m'amuser a savoir comment
les differents services interagissaient entre le client et le serveur.
Arriver a ce niveau la, je pense que c'est tout de meme bien verrouille
en supposant que la gestion des paquets soit aussi effectuee sur la
chaine OUTPUT cote serveur et client.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et aussi l'original en anglais pour le "forçage" des ports.
Cela me rapelle quelque chose :p!
donc j'ai sur le serveur : # rpc.statd : 32765 et 32766 (outgoing) # rpc.mountd : 32767 # rpc.lockd : 32768
dans mon script firewall sur le serveur j'ai : #pour NFS iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT ## vu ds le NFS-HOWTO iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac -j ACCEPT iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac -j ACCEPT ## vu ds le NFS-HOWTO iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac -j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 111 -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 2049 -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 32765:32768 -j ACCEPT iptables -A lan_in_new -p udp --dport 111 -j ACCEPT iptables -A lan_in_new -p udp --dport 2049 -j ACCEPT iptables -A lan_in_new -p udp --dport 32765:32768 -j ACCEPT
J'ai simplement verouille un peu plus en ajoutant les --syn pour le protocol tcp. De plus la chaine utilisateur lan_in_new recupere les paquets provenant du reseau local et dont l'etat est qualifie par NEW.
Les paquets qualifies comme RELATED et ESTABLISHED sont acceptes aussi mais dans un autre morceau du script.
Pour ce qui est de l'adresse mac, je n'en ai pas tenu compte, et j'ai verrouille du cote de /etc/hosts.allow comme je l'ai ecris dans le lien que tu as mentionne. L'utilisation de mac-source obligerait a dupliquer les regles pour chaque client suceptible de vouloir un acces sur le serveur NFS.
sur le client j'ai du graphique avec firestarter : j'ai le 32766 ouvert en sortie.
dans le howto ils mettent juste : iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT
C'est le client qui initie les connexions sur le serveur NFS, donc le client devrait recevoir des paquets ESTABLISHED, voir peut etre RELATED (je ne sais pas) de la part du serveur ; donc pas d'etat NEW. J'aurais travaille sur les 4 ports (32765:32768), sans m'amuser a savoir comment les differents services interagissaient entre le client et le serveur.
Arriver a ce niveau la, je pense que c'est tout de meme bien verrouille en supposant que la gestion des paquets soit aussi effectuee sur la chaine OUTPUT cote serveur et client.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
GIGGz
[...] ça c'est une coupe!
Juste une question : SOus etch quelle est dorénavant la version nfs par défaut ? est on passé à NFS4 ou alors on est tjs à NFS3 ?
Merci pour la réponse et l'HOWTO :)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
[...] ça c'est une coupe!
Juste une question :
SOus etch quelle est dorénavant la version nfs par défaut ? est on passé
à NFS4 ou alors on est tjs à NFS3 ?
Merci pour la réponse et l'HOWTO :)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Juste une question : SOus etch quelle est dorénavant la version nfs par défaut ? est on passé à NFS4 ou alors on est tjs à NFS3 ?
Merci pour la réponse et l'HOWTO :)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Il accepte la version 3 et 4 chez moi. Je n'ai jamais configure la version 4, je sais simplement qu'il y a quelques differences dans /etc/exports du cote du serveur et dans /etc/fstab du cote du client.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Il accepte la version 3 et 4 chez moi.
Je n'ai jamais configure la version 4, je sais simplement qu'il y a
quelques differences dans /etc/exports du cote du serveur et dans
/etc/fstab du cote du client.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Il accepte la version 3 et 4 chez moi. Je n'ai jamais configure la version 4, je sais simplement qu'il y a quelques differences dans /etc/exports du cote du serveur et dans /etc/fstab du cote du client.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact