[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

A l'aide, probleme iptables ou nfs?

Bonjour,

j'ai deux machines en réseau:
(disons machun et machdeux)

machun: serveur nfs avec deux cartes reseau, eth0 reliée à machdeux, 
adresse ip : 192.168.5.1; la deuxieme carte réseau eth1 reliée à une 
freebox.

machdeux, avec une carte eth0, adresse ip 192.168.5.2 reliée à 
machun.

Je veux que machdeux puisse monter une partition nfs de machun, et naviguer 
sur internet.
Hier, monter la partition nfs de machun sur machdeux fonctionnait.
J'ai donc tenté de définir les règles iptables pour mettre un peu de sécu; 
depuis, machdeux peut se connecter sur internet, je peux pinger sur machun, 
mais je n'arrive plus à monter la partition nfs de machun sur machdeux; 
lorsque j'essaye, ça traîne, avec un message sur machdeux : "mount: RPC: 
timed out" et sur machun, dans syslog :"mountd[219]: access from host 
192.168.5.2 rejected"
Bien entendu, ce message apparait également au démarrage de machdeux quand 
elle cherche à monter cette partition nfs.

Conclusion (non affirmative): j'ai dû légèrement me planter dans iptables! 
Par contre, ce que je ne comprends pas, c'est que même si je fais 
/etc/init.d/iptables stop sur machun, ça ne change rien !
A savoir, je suis sous debian woody.
Ah si, je pense à une chose, j'ai fait une mise à jour de woody sur 
machdeux, mais par sur machun puisque je n'arrive pas à me connecter de 
cette machine, donc sur machun il y a debian woody 3.0 r0 (je crois) alors 
qu'il y a la derniere mise à jour de woody sur machdeux, peut-être est-ce 
la cause? mais dans ce cas, comment résoudre ce problème, vu que je 
n'arrive toujours pas à me connecter depuis machun?
A signaler que ça devient urgent (surtout cette histoire de nfs).

Je vous mets à la suite mes règles iptables, si quelqu'un peut m'expliquer 
ce qui merde, et en quoi, car ça montre que je n'ai pas tout saisi.

Merci 

Michel

Règles iptables :

#!/bin/bash
#Effacement tables
echo 0 > /proc/net/ipv4/ip_forward
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
#
#Fermeture totale
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#
#Ouverture localhost
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#
#Ouverture reseau local
iptables -t filter -A OUTPUT -o eth0 -s 192.168.5.0/2 -d 192.168.5.0/2 -j 
ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.5.0/2 -d 192.168.5.0/2 -j 
ACCEPT
#
#Masquage d'adresse
iptables -t nat -A POSTROUTING -s 192.168.5.1 -o eth1 -j MASQUERADE
#La ligne qui précède, je me demande si c'est pas une connerie, 
#vu que c'est la premiere machine ? 
iptables -t nat -A POSTROUTING -s 192.168.5.2 -o eth1 -j MASQUERADE
#
#C'est parti pour internet:
iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d 0.0.0.0/0 
-m state --state ! INVALID -j ACCEPT
#Ligne précedente: La aussi je m'interroge...
iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d 0.0.0.0/0 
-m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.5.1 
-m state -- ESTABLISHED,RELATED -j ACCEPT
#Même habituel questionnement pour la précédente
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.5.2 
-m state -- ESTABLISHED,RELATED -j ACCEPT 
echo 1 > /proc/sys/net/ipv4/ip_forward

Voilà. J'explique ce qui me pose question, peut-être pourra-t'on 
m'expliquer en quoi mon résonnement est erroné (ou bon, ça m'arrive des 
fois)
Je prends les 2 dernieres lignes qui m'intrigue (celle avec 192.168.5.1)
Cette adresse ip est celle de la premiere machine sur la carte eth0; or, ce 
qui arrive par la freebox entre par eth1, mais n'a pas de raison de passer 
par eth0, donc par l'adresse ip 192.168.5.1 (?), donc cette ligne ne sert à 
rien, et dans ce cas, je n'ouvre pas d'autorisation pour ma premiere 
machine, non ?
Mais si le probleme est là, comment faire pour ouvrir une autorisation de 
passage pour ma premiere machine, par son adresse ip internet? (c'est à 
dire celle d'eth1?)
Mais le probleme, c'est que ça n'explique pas l'impossibilité pour la 
deuxieme machine de monter la partition nfs de la premiere machine.

Merci de répondre à mes questionnements
Reply to: