[NFS]

Le
giggz
Bonsoir la liste,

je suis dans NFS et je rencontre qqs problème pour configurer
correctement mon firewall côté client et côté serveur (2 machines
différentes).
sur 192.168.0.a il y a le serveur NFS
sur 192.168.0.b il y a le client NFS

j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et
aussi l'original en anglais pour le "forçage" des ports.
donc j'ai sur le serveur :
# rpc.statd : 32765 et 32766 (outgoing)
# rpc.mountd : 32767
# rpc.lockd : 32768

dans mon script firewall sur le serveur j'ai :
#pour NFS
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT

sur le client j'ai du graphique avec firestarter :
j'ai le 32766 ouvert en sortie.

dans le howto ils mettent juste :
iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT
iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT

je trouve ça un peu bourrin. Si qqn pouvait m'aider à faire un réglage
plus finen effet je ne sais pas ce qu'il faut que je fasse pour lockd

Merci d'avance
Guillaume


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Franck Joncourt
Le #9553681
--y2zxS2PfCDLh6JVG
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Wed, May 23, 2007 at 10:45:00PM +0200, giggz wrote:
Bonsoir la liste,

je suis dans NFS et je rencontre qqs problème pour configurer
correctement mon firewall côté client et côté serveur (2 machines
différentes).
sur 192.168.0.a il y a le serveur NFS
sur 192.168.0.b il y a le client NFS

j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et
aussi l'original en anglais pour le "forçage" des ports.



Cela me rapelle quelque chose :p!

donc j'ai sur le serveur :
# rpc.statd : 32765 et 32766 (outgoing)
# rpc.mountd : 32767
# rpc.lockd : 32768

dans mon script firewall sur le serveur j'ai :
#pour NFS
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac
-j ACCEPT
iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac
-j ACCEPT
## vu ds le NFS-HOWTO
iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac
-j ACCEPT



iptables -A lan_in_new -p tcp --syn --dport 111 -j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 2049 -j ACCEPT
iptables -A lan_in_new -p tcp --syn --dport 32765:32768 -j ACCEPT
iptables -A lan_in_new -p udp --dport 111 -j ACCEPT
iptables -A lan_in_new -p udp --dport 2049 -j ACCEPT
iptables -A lan_in_new -p udp --dport 32765:32768 -j ACCEPT

J'ai simplement verouille un peu plus en ajoutant les --syn pour le
protocol tcp. De plus la chaine utilisateur lan_in_new recupere les
paquets provenant du reseau local et dont l'etat est qualifie par NEW.

Les paquets qualifies comme RELATED et ESTABLISHED sont acceptes aussi
mais dans un autre morceau du script.

Pour ce qui est de l'adresse mac, je n'en ai pas tenu compte, et j'ai
verrouille du cote de /etc/hosts.allow comme je l'ai ecris dans le
lien que tu as mentionne. L'utilisation de mac-source obligerait a
dupliquer les regles pour chaque client suceptible de vouloir un acces
sur le serveur NFS.

sur le client j'ai du graphique avec firestarter :
j'ai le 32766 ouvert en sortie.

dans le howto ils mettent juste :
iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT
iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT



C'est le client qui initie les connexions sur le serveur NFS, donc le
client devrait recevoir des paquets ESTABLISHED, voir peut etre RELATED
(je ne sais pas) de la part du serveur ; donc pas d'etat NEW. J'aurais
travaille sur les 4 ports (32765:32768), sans m'amuser a savoir comment
les differents services interagissaient entre le client et le serveur.

Arriver a ce niveau la, je pense que c'est tout de meme bien verrouille
en supposant que la gestion des paquets soit aussi effectuee sur la
chaine OUTPUT cote serveur et client.

je trouve ça un peu bourrin. Si qqn pouvait m'aider à faire un réglage
plus fin...en effet je ne sais pas ce qu'il faut que je fasse pour lockd. ..




--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--y2zxS2PfCDLh6JVG
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGVLKxxJBTTnXAif4RArytAJ0U8MvbGSry6OTUCNkAGS7efEnw2ACggUul
+4GrxTmp4CmWOGuBDt9y614 =r02D
-----END PGP SIGNATURE-----

--y2zxS2PfCDLh6JVG--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
GIGGz
Le #9553541
[...] ça c'est une coupe!

Juste une question :
SOus etch quelle est dorénavant la version nfs par défaut ? est on passé
à NFS4 ou alors on est tjs à NFS3 ?

Merci pour la réponse et l'HOWTO :)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9553301
--1Ow488MNN9B9o/ov
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Thu, May 24, 2007 at 10:08:08AM +0200, GIGGz wrote:
[...] ça c'est une coupe!

Juste une question :
SOus etch quelle est dorénavant la version nfs par défaut ? est on passé
à NFS4 ou alors on est tjs à NFS3 ?



C'est le noyau qui gere l'utilisation de la version NFS, en tout cas
pour nfs-kernel-server.

# cat /boot/config-2.6.18-4-amd64 | grep -i nfs
CONFIG_NFS_FS=m
CONFIG_NFS_V3=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFS_V4=y
CONFIG_NFS_DIRECTIO=y
CONFIG_NFSD=m
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFSD_V4=y
CONFIG_NFSD_TCP=y
CONFIG_NFS_ACL_SUPPORT=m
CONFIG_NFS_COMMON=y
CONFIG_NCPFS_NFS_NS=y

Il accepte la version 3 et 4 chez moi.
Je n'ai jamais configure la version 4, je sais simplement qu'il y a
quelques differences dans /etc/exports du cote du serveur et dans
/etc/fstab du cote du client.


Merci pour la réponse et l'HOWTO :)




Content que cela aide.

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--1Ow488MNN9B9o/ov
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGVd8exJBTTnXAif4RApNQAKCrpSMbXtYgu8U3eM4bg4MHCcvmYACdErpx
uUNKPclt0M8KNuHof3gSZpc =YgF0
-----END PGP SIGNATURE-----

--1Ow488MNN9B9o/ov--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme