Je viens de voir que portmap peut =E9couter sur une interface pr=E9cise gr=
=E2ce =E0=20
l'option "-i " (param=E9trable dans /etc/default/portmap).
Mais en m=EAme temps, on peut utiliser le fichier /etc/hosts.allow avec cec=
i par=20
exemple :
portmap: 192.168.1.0/24
Est-ce que =E7a revient au m=EAme que d'utiliser l'option "-i 192.168.1.0/2=
4" ?
Qui intervient en premier ?
=2D-=20
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent Bernat
OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22:30, Michel Grentzinger disait:
Je viens de voir que portmap peut écouter sur une interface précise grâce à l'option "-i " (paramétrable dans /etc/default/portmap). Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec ceci par exemple : portmap: 192.168.1.0/24
Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1.0/24" ? Qui intervient en premier ?
Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface spécifiée. Si un paquet arrive à son attention sur une autre interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur toutes les interfaces, il va recevoir le paquet puis regarder s'il doit le laisser ou non passer.
Le -i est plus sûr dans le sens oû même s'il y a un bug dans portmap, il ne sera pas possible de le contacter de l'extérieur (sauf si le bug concerne le -i). Le hosts.allow est plus souple car il n'est pas obligatoire de mettre un réseau correspondant à une interface, tu peux mettre plusieurs réseaux, des IPs particulières, etc. Ceci est géré par la libnwrap qui est utilisée par d'autres projets et est relativement sûre.
Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour, une mise à jour ne prend plus en compte le -i, tu auras toujours le /etc/hosts.allow qui pourra intervenir. -- Test input for validity and plausibility. - The Elements of Programming Style (Kernighan & Plauger)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22:30,
Michel Grentzinger <mic.grentz@online.fr> disait:
Je viens de voir que portmap peut écouter sur une interface précise grâce à
l'option "-i " (paramétrable dans /etc/default/portmap).
Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec ceci par
exemple :
portmap: 192.168.1.0/24
Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1.0/24" ?
Qui intervient en premier ?
Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface
spécifiée. Si un paquet arrive à son attention sur une autre
interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur
toutes les interfaces, il va recevoir le paquet puis regarder s'il
doit le laisser ou non passer.
Le -i est plus sûr dans le sens oû même s'il y a un bug dans portmap,
il ne sera pas possible de le contacter de l'extérieur (sauf si le bug
concerne le -i). Le hosts.allow est plus souple car il n'est pas
obligatoire de mettre un réseau correspondant à une interface, tu peux
mettre plusieurs réseaux, des IPs particulières, etc. Ceci est géré
par la libnwrap qui est utilisée par d'autres projets et est
relativement sûre.
Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour,
une mise à jour ne prend plus en compte le -i, tu auras toujours le
/etc/hosts.allow qui pourra intervenir.
--
Test input for validity and plausibility.
- The Elements of Programming Style (Kernighan & Plauger)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22:30, Michel Grentzinger disait:
Je viens de voir que portmap peut écouter sur une interface précise grâce à l'option "-i " (paramétrable dans /etc/default/portmap). Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec ceci par exemple : portmap: 192.168.1.0/24
Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1.0/24" ? Qui intervient en premier ?
Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface spécifiée. Si un paquet arrive à son attention sur une autre interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur toutes les interfaces, il va recevoir le paquet puis regarder s'il doit le laisser ou non passer.
Le -i est plus sûr dans le sens oû même s'il y a un bug dans portmap, il ne sera pas possible de le contacter de l'extérieur (sauf si le bug concerne le -i). Le hosts.allow est plus souple car il n'est pas obligatoire de mettre un réseau correspondant à une interface, tu peux mettre plusieurs réseaux, des IPs particulières, etc. Ceci est géré par la libnwrap qui est utilisée par d'autres projets et est relativement sûre.
Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour, une mise à jour ne prend plus en compte le -i, tu auras toujours le /etc/hosts.allow qui pourra intervenir. -- Test input for validity and plausibility. - The Elements of Programming Style (Kernighan & Plauger)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger
Le mercredi 23 août 2006 09:45, Vincent Bernat a écrit :
OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22: 30,
Michel Grentzinger disait: > Je viens de voir que portmap peut écouter sur une interface précise grâce > à l'option "-i " (paramétrable dans /etc/default/portmap). > Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec > ceci par exemple : > portmap: 192.168.1.0/24 > > Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1 .0/24" > ? Qui intervient en premier ?
Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface spécifiée. Si un paquet arrive à son attention sur une au tre interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur toutes les interfaces, il va recevoir le paquet puis regarder s'il doit le laisser ou non passer.
Le -i est plus sûr dans le sens oû même s'il y a un bug dans portm ap, il ne sera pas possible de le contacter de l'extérieur (sauf si le bug concerne le -i). Le hosts.allow est plus souple car il n'est pas obligatoire de mettre un réseau correspondant à une interface, tu peux mettre plusieurs réseaux, des IPs particulières, etc. Ceci est g éré par la libnwrap qui est utilisée par d'autres projets et est relativement sûre.
Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour, une mise à jour ne prend plus en compte le -i, tu auras toujours le /etc/hosts.allow qui pourra intervenir.
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai rien trouvé dans le man.
Je suppose qu'il faut accepter 127.0.0.1 de toute façon, non ?
Pour mon cas particulier, je souhaite que seul mon réseau local soit auto risé, soit 2 réseaux : 192.168.0.0/24 et 192.168.1.0/24 (sur 2 interfaces : eth 1 et eth2).
Merci pour tes explications très claires ! Est-ce que tu aurais une URL qui explique tout ça ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Le mercredi 23 août 2006 09:45, Vincent Bernat a écrit :
OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22: 30,
Michel Grentzinger <mic.grentz@online.fr> disait:
> Je viens de voir que portmap peut écouter sur une interface précise grâce
> à l'option "-i " (paramétrable dans /etc/default/portmap).
> Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec
> ceci par exemple :
> portmap: 192.168.1.0/24
>
> Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1 .0/24"
> ? Qui intervient en premier ?
Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface
spécifiée. Si un paquet arrive à son attention sur une au tre
interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur
toutes les interfaces, il va recevoir le paquet puis regarder s'il
doit le laisser ou non passer.
Le -i est plus sûr dans le sens oû même s'il y a un bug dans portm ap,
il ne sera pas possible de le contacter de l'extérieur (sauf si le bug
concerne le -i). Le hosts.allow est plus souple car il n'est pas
obligatoire de mettre un réseau correspondant à une interface, tu peux
mettre plusieurs réseaux, des IPs particulières, etc. Ceci est g éré
par la libnwrap qui est utilisée par d'autres projets et est
relativement sûre.
Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour,
une mise à jour ne prend plus en compte le -i, tu auras toujours le
/etc/hosts.allow qui pourra intervenir.
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte
plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai
rien trouvé dans le man.
Je suppose qu'il faut accepter 127.0.0.1 de toute façon, non ?
Pour mon cas particulier, je souhaite que seul mon réseau local soit auto risé,
soit 2 réseaux : 192.168.0.0/24 et 192.168.1.0/24 (sur 2 interfaces : eth 1 et
eth2).
Merci pour tes explications très claires !
Est-ce que tu aurais une URL qui explique tout ça ?
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Le mercredi 23 août 2006 09:45, Vincent Bernat a écrit :
OoO En cette soirée bien amorcée du mardi 22 août 2006, vers 22: 30,
Michel Grentzinger disait: > Je viens de voir que portmap peut écouter sur une interface précise grâce > à l'option "-i " (paramétrable dans /etc/default/portmap). > Mais en même temps, on peut utiliser le fichier /etc/hosts.allow avec > ceci par exemple : > portmap: 192.168.1.0/24 > > Est-ce que ça revient au même que d'utiliser l'option "-i 192.168.1 .0/24" > ? Qui intervient en premier ?
Le -i est prioritaire. Avec -i, portmap n'écoute que sur l'interface spécifiée. Si un paquet arrive à son attention sur une au tre interface, il ne le sait même pas. Avec hosts.allow, s'il écoute sur toutes les interfaces, il va recevoir le paquet puis regarder s'il doit le laisser ou non passer.
Le -i est plus sûr dans le sens oû même s'il y a un bug dans portm ap, il ne sera pas possible de le contacter de l'extérieur (sauf si le bug concerne le -i). Le hosts.allow est plus souple car il n'est pas obligatoire de mettre un réseau correspondant à une interface, tu peux mettre plusieurs réseaux, des IPs particulières, etc. Ceci est g éré par la libnwrap qui est utilisée par d'autres projets et est relativement sûre.
Le mieux est d'opter pour les deux : ceinture et bretelle. Si un jour, une mise à jour ne prend plus en compte le -i, tu auras toujours le /etc/hosts.allow qui pourra intervenir.
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai rien trouvé dans le man.
Je suppose qu'il faut accepter 127.0.0.1 de toute façon, non ?
Pour mon cas particulier, je souhaite que seul mon réseau local soit auto risé, soit 2 réseaux : 192.168.0.0/24 et 192.168.1.0/24 (sur 2 interfaces : eth 1 et eth2).
Merci pour tes explications très claires ! Est-ce que tu aurais une URL qui explique tout ça ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Vincent Bernat
OoO En cette matinée pluvieuse du mercredi 23 août 2006, vers 10:26, Michel Grentzinger disait:
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai rien trouvé dans le man.
D'après les sources, il n'y en aura qu'une seule qui sera prise en compte. -- BOFH excuse #34: (l)user error
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
OoO En cette matinée pluvieuse du mercredi 23 août 2006, vers 10:26,
Michel Grentzinger <mic.grentz@online.fr> disait:
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte
plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai
rien trouvé dans le man.
D'après les sources, il n'y en aura qu'une seule qui sera prise en
compte.
--
BOFH excuse #34:
(l)user error
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
OoO En cette matinée pluvieuse du mercredi 23 août 2006, vers 10:26, Michel Grentzinger disait:
Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je n'ai rien trouvé dans le man.
D'après les sources, il n'y en aura qu'une seule qui sera prise en compte. -- BOFH excuse #34: (l)user error
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger
Le mercredi 23 août 2006 13:30, Vincent Bernat a écrit :
OoO En cette matinée pluvieuse du mercredi 23 août 2006, vers 10:26,
Michel Grentzinger disait: > Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte > plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je > n'ai rien trouvé dans le man.
D'après les sources, il n'y en aura qu'une seule qui sera prise en compte.
Oui, ça à l'air d'être ça. J'ai fait quelques tests avec différen tes valeurs pour portmap mais sans succès...
Donc je m'en remet plutôt aux fichiers /etc/hosts.allow et /etc/hosts.den y.
En fait, l'option "-i" de portmap se sert que si on veut restreindre portma p à l'hôte local (-i 127.0.0.1) car avec une autre valeur (-i 192.168.0.1), ça fonctionne mais le démarrage de nfs-kernel-server échoue trop le montre r (mountd n'est pas démarré).
Aug 23 15:39:42 kayak kernel: portmap: server localhost not responding, tim ed out Aug 23 15:39:42 kayak kernel: RPC: failed to contact portmap (errno -5). Aug 23 15:39:42 kayak last message repeated 4 times Aug 23 15:39:42 kayak nfsd[29878]: nfssvc: Input/output error
Au niveau du serveur, si je lance portmap avec "-i 192.168.0.1 -i 127.0.0.1 ", portmap est ok, nfs-kernel-server se lance, rpcinfo -p est correct mais j'a i ceci au niveau du client, après un montage nfs :
# mount -v 192.168.0.1:/home/public System Error: 111 (Connexion refusée) mount to NFS server '192.168.0.1' failed: server is down. RPC Error: 12 ( erreur système sur l'hôte cible ) System Error: 111 (Connexion refusée)
Dommage que portmap ne permette pas ceci, à la manière de Samba ou d'au tres programmes serveur :-( Est-ce une fonctionnalité manquante, une source de trous de sécurité ou une mauvaise manière de procéder ainsi avec portmap ?
Ça m'apprendra à utiliser hosts.allow et hosts.deny !
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Le mercredi 23 août 2006 13:30, Vincent Bernat a écrit :
OoO En cette matinée pluvieuse du mercredi 23 août 2006, vers 10:26,
Michel Grentzinger <mic.grentz@online.fr> disait:
> Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte
> plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je
> n'ai rien trouvé dans le man.
D'après les sources, il n'y en aura qu'une seule qui sera prise en
compte.
Oui, ça à l'air d'être ça. J'ai fait quelques tests avec différen tes valeurs
pour portmap mais sans succès...
Donc je m'en remet plutôt aux fichiers /etc/hosts.allow et /etc/hosts.den y.
En fait, l'option "-i" de portmap se sert que si on veut restreindre portma p à
l'hôte local (-i 127.0.0.1) car avec une autre valeur (-i 192.168.0.1), ça
fonctionne mais le démarrage de nfs-kernel-server échoue trop le montre r
(mountd n'est pas démarré).
Aug 23 15:39:42 kayak kernel: portmap: server localhost not responding, tim ed
out
Aug 23 15:39:42 kayak kernel: RPC: failed to contact portmap (errno -5).
Aug 23 15:39:42 kayak last message repeated 4 times
Aug 23 15:39:42 kayak nfsd[29878]: nfssvc: Input/output error
Au niveau du serveur, si je lance portmap avec "-i 192.168.0.1 -i 127.0.0.1 ",
portmap est ok, nfs-kernel-server se lance, rpcinfo -p est correct mais j'a i
ceci au niveau du client, après un montage nfs :
# mount -v 192.168.0.1:/home/public
System Error: 111 (Connexion refusée)
mount to NFS server '192.168.0.1' failed: server is down.
RPC Error: 12 ( erreur système sur l'hôte cible )
System Error: 111 (Connexion refusée)
Dommage que portmap ne permette pas ceci, à la manière de Samba ou d'au tres
programmes serveur :-(
Est-ce une fonctionnalité manquante, une source de trous de sécurité ou une
mauvaise manière de procéder ainsi avec portmap ?
Ça m'apprendra à utiliser hosts.allow et hosts.deny !
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Le mercredi 23 août 2006 13:30, Vincent Bernat a écrit :
OoO En cette matinée pluvieuse du mercredi 23 août 2006, vers 10:26,
Michel Grentzinger disait: > Oui, je pensais opter pour les deux mais est-ce que l'option -i accepte > plusieurs arguments ou portmap accepte-t-il plusieurs options -i ? Je > n'ai rien trouvé dans le man.
D'après les sources, il n'y en aura qu'une seule qui sera prise en compte.
Oui, ça à l'air d'être ça. J'ai fait quelques tests avec différen tes valeurs pour portmap mais sans succès...
Donc je m'en remet plutôt aux fichiers /etc/hosts.allow et /etc/hosts.den y.
En fait, l'option "-i" de portmap se sert que si on veut restreindre portma p à l'hôte local (-i 127.0.0.1) car avec une autre valeur (-i 192.168.0.1), ça fonctionne mais le démarrage de nfs-kernel-server échoue trop le montre r (mountd n'est pas démarré).
Aug 23 15:39:42 kayak kernel: portmap: server localhost not responding, tim ed out Aug 23 15:39:42 kayak kernel: RPC: failed to contact portmap (errno -5). Aug 23 15:39:42 kayak last message repeated 4 times Aug 23 15:39:42 kayak nfsd[29878]: nfssvc: Input/output error
Au niveau du serveur, si je lance portmap avec "-i 192.168.0.1 -i 127.0.0.1 ", portmap est ok, nfs-kernel-server se lance, rpcinfo -p est correct mais j'a i ceci au niveau du client, après un montage nfs :
# mount -v 192.168.0.1:/home/public System Error: 111 (Connexion refusée) mount to NFS server '192.168.0.1' failed: server is down. RPC Error: 12 ( erreur système sur l'hôte cible ) System Error: 111 (Connexion refusée)
Dommage que portmap ne permette pas ceci, à la manière de Samba ou d'au tres programmes serveur :-( Est-ce une fonctionnalité manquante, une source de trous de sécurité ou une mauvaise manière de procéder ainsi avec portmap ?
Ça m'apprendra à utiliser hosts.allow et hosts.deny !
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
