nfs iptables

Le
as8z
bonjour,
j'essaye de securiser un peu plus un reseau avec iptables mais je suis
bloque avec nfs
nfs fait tourner rpc.statd rpc.nfsd portmap rpc.mountd

j'ai pu configurer les trois permiers pour qu'sil n'ecoutent que sur un port
bien precis grace notamment a l'option -p dans les sriptsde
demarrage /etc/ini.d

mais rien a faire avec rpc.mountd qui n'en tient pas compte et change
systematiquement

comment forcer rpc.mountd a ecouter sur des prots particuliers ????

c'est pour une debian testing


merci
alex
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Rakotomandimby Mihamina
Le #1518257
salut

je ne sais pas vraiment comment regler ton souci mais peux tu me dire
comment tu sais que mountd ecoute sur tel ou tel port apres son lancement ?

c'est parceque j'ai aussi du NFS chez moi mais je vois pas avec netstat
de mention a mountd ... ( j'ai ptet pas les bonne options de netstat au
passage ... :-) )

--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina
as8z
Le #1518252
Rakotomandimby Mihamina wrote:

salut

je ne sais pas vraiment comment regler ton souci mais peux tu me dire
comment tu sais que mountd ecoute sur tel ou tel port apres son lancement
?

c'est parceque j'ai aussi du NFS chez moi mais je vois pas avec netstat
de mention a mountd ... ( j'ai ptet pas les bonne options de netstat au
passage ... :-) )



il suffit de mettre les options taupe a netstat :p

netstst -taupe et hop tu vois tout

alex

Ronald
Le #1518251
Le Wed, 05 May 2004 07:31:46 +0200, as8z a écrit :

bonjour,
j'essaye de securiser un peu plus un reseau avec iptables mais je suis
bloque avec nfs
nfs fait tourner rpc.statd rpc.nfsd portmap rpc.mountd

j'ai pu configurer les trois permiers pour qu'sil n'ecoutent que sur un
port bien precis grace notamment a l'option -p dans les sriptsde demarrage
/etc/ini.d

mais rien a faire avec rpc.mountd qui n'en tient pas compte et change
systematiquement

comment forcer rpc.mountd a ecouter sur des prots particuliers ????

c'est pour une debian testing


merci
alex


Pourtant chez moi ça fonctionne, une fois que portmap tourne, nfsd est
lancé, puis mountd avec l'option -p, ensuite lockd et enfin statd.
Peut être que c'est l'ordre de démarrage qui importe.

Ronald
Le #1518250
Le Wed, 05 May 2004 09:09:23 +0200, Rakotomandimby Mihamina a écrit :

salut

je ne sais pas vraiment comment regler ton souci mais peux tu me dire
comment tu sais que mountd ecoute sur tel ou tel port apres son lancement
?

c'est parceque j'ai aussi du NFS chez moi mais je vois pas avec netstat de
mention a mountd ... ( j'ai ptet pas les bonne options de netstat au
passage ... :-) )


rpcinfo -p <ton_serveur> peut aussi te donner les numéros de ports des
services rpc enregistrés.

Rakotomandimby Mihamina
Le #1518249
as8z wrote:
il suffit de mettre les options taupe a netstat :p


bien joue

sinon , ou c'est que tu a place ton option -p ?
je veux dire a quoi (quelle commande) tu l'applique ? un scrip ini ? le
demon lui-meme ?
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina

as8z
Le #1518241
Rakotomandimby Mihamina wrote:

as8z wrote:
il suffit de mettre les options taupe a netstat :p


bien joue

sinon , ou c'est que tu a place ton option -p ?
je veux dire a quoi (quelle commande) tu l'applique ? un scrip ini ? le
demon lui-meme ?


oui dans les script nfs-common et nfs-user-server dans les sections start


pour nfs-common
j'ai rajoute
-p 1009 à rpc.statd


pour nfs-user-server
j'ai rajoute
-p 2049 à rpc.nfsd
-p 4002 à rpc.mountd

mais ca ne marche pas il ne tient pas compte de l'option passe a rpc.mountd
y a peut etre autre chose a faire ??


TiChou
Le #1518240
Dans le message *as8z* tapota sur f.c.o.l.configuration :

bonjour,


Bonjour,

j'essaye de securiser un peu plus un reseau avec iptables mais je suis
bloque avec nfs


Possible de voir vos règles iptables ?

nfs fait tourner rpc.statd rpc.nfsd portmap rpc.mountd


C'est bien nfs-user-server et non pas nfs-kernel-server qui tourne ?

j'ai pu configurer les trois permiers pour qu'sil n'ecoutent que sur un
port bien precis grace notamment a l'option -p dans les sriptsde
demarrage /etc/ini.d


Pouvez-vous nous montrer ce que vous avez modifié dans vos scripts ?

mais rien a faire avec rpc.mountd qui n'en tient pas compte et change
systematiquement


Que retourne la commande 'rpcinfo -p' ?

comment forcer rpc.mountd a ecouter sur des prots particuliers ????


De la même manière que les autres, avec l'option '-p'.

c'est pour une debian testing

merci


--
TiChou

as8z
Le #1518239
TiChou wrote:

Dans le message *as8z* tapota sur f.c.o.l.configuration :

bonjour,


Bonjour,

j'essaye de securiser un peu plus un reseau avec iptables mais je suis
bloque avec nfs


Possible de voir vos règles iptables ?

nfs fait tourner rpc.statd rpc.nfsd portmap rpc.mountd


C'est bien nfs-user-server et non pas nfs-kernel-server qui tourne ?

j'ai pu configurer les trois permiers pour qu'sil n'ecoutent que sur un
port bien precis grace notamment a l'option -p dans les sriptsde
demarrage /etc/ini.d


Pouvez-vous nous montrer ce que vous avez modifié dans vos scripts ?

mais rien a faire avec rpc.mountd qui n'en tient pas compte et change
systematiquement


Que retourne la commande 'rpcinfo -p' ?

comment forcer rpc.mountd a ecouter sur des prots particuliers ????


De la même manière que les autres, avec l'option '-p'.

c'est pour une debian testing

merci





rpcinfo -p donne
# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 1110 status
100024 1 tcp 1110 status
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
100005 1 udp 984 mountd
100005 2 udp 984 mountd
100005 1 tcp 987 mountd
100005 2 tcp 987 mountd

et les regles iptables sont de ce type la

iptables -A INPUT -i eth0 -s $lan -m state --state NEW,ESTABLISHED -p udp
--dport nfs -j ACCEPT
iptables -A OUTPUT -o eth0 -d $lan -m state --state ESTABLISHED -p udp
--sport nfs -j ACCEPT

j'ai bien fait attention entre udp et tcp et a donner les bons numeros de
ports mais rien a faire pour montd ca ne veut pas

j'ai mis ds un autre message ds ce meme fil pour repondre a une autre
personne les modif que j'avais faite


TiChou
Le #1518220
Dans le message *as8z* tapota sur f.c.o.l.configuration :

nfs fait tourner rpc.statd rpc.nfsd portmap rpc.mountd


C'est bien nfs-user-server et non pas nfs-kernel-server qui tourne ?



[...]

rpcinfo -p donne
# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 1110 status
100024 1 tcp 1110 status
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
100005 1 udp 984 mountd
100005 2 udp 984 mountd
100005 1 tcp 987 mountd
100005 2 tcp 987 mountd

et les regles iptables sont de ce type la

iptables -A INPUT -i eth0 -s $lan -m state --state NEW,ESTABLISHED -p udp
--dport nfs -j ACCEPT
iptables -A OUTPUT -o eth0 -d $lan -m state --state ESTABLISHED -p udp
--sport nfs -j ACCEPT

j'ai bien fait attention entre udp et tcp et a donner les bons numeros de
ports mais rien a faire pour montd ca ne veut pas

j'ai mis ds un autre message ds ce meme fil pour repondre a une autre
personne les modif que j'avais faite


Oui, mais on ne sait pas exactement quels sont les fichiers que vous avez
modifiés et comment ils ont été modifiés.
De plus, avez-vous bien relancé les services en question pour prendre en
compte les modifications ?
Normalement si les options que vous avez rajouté ne sont pas prises en
compte vous devriez le voir au moment du lancement des services.
Il vous reste la solution de lancer manuellement chaque daemon en ligne de
commande pour voir si les options sont prises en compte ou non.

Et enfin, sachez qu'il existe un module de suivi des connexions rpc qui peut
faciliter grandement la création des règles iptables. Il s'agit des modules
ip_conntrack_rpc_tcp et ip_conntrack_rpc_udp. Par contre je ne sais plus si
c'est disponible dans les noyaux récents ou s'il faut ajouter ces modules
avec le dernier patch-o-matic de Netfilter.
Au niveau d'iptables, il suffit d'autoriser les connexions sur les ports
sunrpc (portmapper) et nfs (nfsd) ainsi que d'autoriser les connexions «
RELATED ».

--
TiChou



Julien Salgado
Le #1518215
as8z a écrit :
comment forcer rpc.mountd a ecouter sur des prots particuliers ????


C'est l'option -p... voir le man de mountd...





--
Julien

Publicité
Poster une réponse
Anonyme