Re: portmap/nfs et iptables...

To: debian-user-french@lists.debian.org
Subject: Re: portmap/nfs et iptables...
From: Franck Joncourt <franck.joncourt@wanadoo.fr>
Date: Mon, 19 Mar 2007 22:45:00 +0100
Message-id: <[🔎] 20070319214500.GA7318@toystory.lan>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 873b41km5j.fsf@free.fr>
References: <[🔎] 87bqip336z.fsf@free.fr> <[🔎] 874pohuwdj.fsf@free.fr> <[🔎] 20070319195355.GC4085@toystory.lan> <[🔎] 873b41km5j.fsf@free.fr>

On Mon, Mar 19, 2007 at 09:34:32PM +0100, fred wrote:
> Franck Joncourt <franck.joncourt@wanadoo.fr> a écrit :
> 
> > On Mon, Mar 19, 2007 at 03:43:36PM +0100, fred wrote:
> >> fred <fredantispam@free.fr> a écrit :
> >> 
> >> > ### redirection vers l'extérieur
> >> > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j SNAT --to ${ADDR_GATEWAY_NET}
> >> > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j MASQUERADE
> >
> > Les deux regles sont similaires. Mais, on preferera utiliser la cible SNAT
> > lorsque l'adresse ip de la machine est fixe car cela consomme moins de
> > ressources.
> Cad ?
> Il y a redondance ?

La cible MASQUERADE est similaire a la cible SNAT mais prend en charge
toute seule l'option to-source en obtenant cette information de
l'interface considérée. Il est ainsi recommandé d'utiliser MASQUERADE pour un
client DHCP ou une connexion dial-up et non pas SNAT.

Du coup à chaque fois q'un paquets atteint la cible MASQUERADE, une
vérification sur l'adresse utilisée est effectuée.

> Je peux enlever la seconde ?

Oui.

> 
> >> >
> >> > ### règles pour le LAN 
> >> > ## on accepte les connexions en tant que serveur
> >> > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT  # rpcbind/portmapper
> >> > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT  # rpcbind/portmapper
> >> > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
> >> > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
> >> 
> >
> > En plus de ce que Remi t'a donner comme informations pour fixer les ports
> > pour le NFS, j'ajouterais ces ports dans le fichier /etc/services pour
> > pouvoir plus facilement regarder mes regles quand je fais un iptables -L
> > -v :
> Vi, déjà fait pour mountd (je n'utilise que celui-là).

Je n'ai pas regardé de près le fonctionnement des services rpc, mais je
pensais que les services mountd, statd et lockd était tous les trois
necessaires pour faire fonctionner NFS correctement, contrairement à rqotad.

-- 
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: portmap/nfs et iptables...
  - From: fred <fredantispam@free.fr>

References:
- portmap/nfs et iptables...
  - From: fred <fredantispam@free.fr>
- Re: portmap/nfs et iptables...
  - From: fred <fredantispam@free.fr>
- Re: portmap/nfs et iptables...
  - From: Franck Joncourt <franck.joncourt@wanadoo.fr>
- Re: portmap/nfs et iptables...
  - From: fred <fredantispam@free.fr>

Prev by Date: Re: portmap/nfs et iptables...
Next by Date: Re: portmap/nfs et iptables...
Previous by thread: Re: portmap/nfs et iptables...
Next by thread: Re: portmap/nfs et iptables...
Index(es):
- Date
- Thread