On Wed, May 23, 2007 at 10:45:00PM +0200, giggz wrote: > Bonsoir la liste, > > je suis dans NFS et je rencontre qqs problème pour configurer > correctement mon firewall côté client et côté serveur (2 machines > différentes). > sur 192.168.0.a il y a le serveur NFS > sur 192.168.0.b il y a le client NFS > > j'ai suivi ce tuto http://smhteam.info/wiki/index.linux.php5?wiki=NFS et > aussi l'original en anglais pour le "forçage" des ports. Cela me rapelle quelque chose :p! > donc j'ai sur le serveur : > # rpc.statd : 32765 et 32766 (outgoing) > # rpc.mountd : 32767 > # rpc.lockd : 32768 > > dans mon script firewall sur le serveur j'ai : > #pour NFS > iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac > -j ACCEPT > iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac > -j ACCEPT > iptables -A INPUT -p tcp --dport 111 -m mac --mac-source monadressemac > -j ACCEPT > iptables -A INPUT -p tcp --dport 2049 -m mac --mac-source monadressemac > -j ACCEPT > ## vu ds le NFS-HOWTO > iptables -A INPUT -p tcp --dport 32767 -m mac --mac-source monadressemac > -j ACCEPT > iptables -A INPUT -p udp --dport 111 -m mac --mac-source monadressemac > -j ACCEPT > iptables -A INPUT -p udp --dport 2049 -m mac --mac-source monadressemac > -j ACCEPT > ## vu ds le NFS-HOWTO > iptables -A INPUT -p udp --dport 32767 -m mac --mac-source monadressemac > -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 111 -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 2049 -j ACCEPT iptables -A lan_in_new -p tcp --syn --dport 32765:32768 -j ACCEPT iptables -A lan_in_new -p udp --dport 111 -j ACCEPT iptables -A lan_in_new -p udp --dport 2049 -j ACCEPT iptables -A lan_in_new -p udp --dport 32765:32768 -j ACCEPT J'ai simplement verouille un peu plus en ajoutant les --syn pour le protocol tcp. De plus la chaine utilisateur lan_in_new recupere les paquets provenant du reseau local et dont l'etat est qualifie par NEW. Les paquets qualifies comme RELATED et ESTABLISHED sont acceptes aussi mais dans un autre morceau du script. Pour ce qui est de l'adresse mac, je n'en ai pas tenu compte, et j'ai verrouille du cote de /etc/hosts.allow comme je l'ai ecris dans le lien que tu as mentionne. L'utilisation de mac-source obligerait a dupliquer les regles pour chaque client suceptible de vouloir un acces sur le serveur NFS. > sur le client j'ai du graphique avec firestarter : > j'ai le 32766 ouvert en sortie. > > dans le howto ils mettent juste : > iptables -A INPUT -p tcp --dport 32765:32768 -j ACCEPT > iptables -A INPUT -p udp --dport 32765:32768 -j ACCEPT C'est le client qui initie les connexions sur le serveur NFS, donc le client devrait recevoir des paquets ESTABLISHED, voir peut etre RELATED (je ne sais pas) de la part du serveur ; donc pas d'etat NEW. J'aurais travaille sur les 4 ports (32765:32768), sans m'amuser a savoir comment les differents services interagissaient entre le client et le serveur. Arriver a ce niveau la, je pense que c'est tout de meme bien verrouille en supposant que la gestion des paquets soit aussi effectuee sur la chaine OUTPUT cote serveur et client. > je trouve ça un peu bourrin. Si qqn pouvait m'aider à faire un réglage > plus fin...en effet je ne sais pas ce qu'il faut que je fasse pour lockd... > -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature