Différences

Ci-dessous, les différences entre deux révisions de la page.

--- nfs-ufw [Le 01/02/2011, 00:30]
86.205.15.71 orthographe
+++ nfs-ufw [Le 01/09/2022, 00:08] (Version actuelle)
moths-art Passage de http à https sur les liens externes (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
@@ Ligne 1: / Ligne 1: @@
-{{tag> Lucid réseau pare-feu partage nfs tutoriel brouillon }}
+{{tag> Trusty xenial réseau partage nfs sécurité tutoriel }}
 ----
-====== partage NFS et Firewall (UFW ) ======
+====== Fixer les ports pour un partage NFS ======
-{{nfs-ufw.png}}
+Vous pouvez avoir besoin de fixer les [[wpfr>Port_(logiciel)|ports]] utilisés par [[:NFS]] , lorsque votre [[:partage]] doit se faire à travers un [[:Firewall|pare-feu]] matériel ou logiciel ou un autre équipement filtrant.
-<note tip>\\
+{{/nfs-ufw.png}}
-Pour sécuriser votre [[:partage]] [[:NFS]] à l'aide d'un [[:firewall]]\\
-vous pouvez suivre ce [[http://wiki.debian.org/SecuringNFS|tutoriel debian]] \\
-préférez [[:ufw]] à [[:shorewall]] .
+<note tip>Pour sécuriser votre [[:partage]] [[:NFS]] à l'aide d'un [[:firewall|pare-feu]] vous pouvez suivre ce [[https://wiki.debian.org/SecuringNFS|tutoriel debian]] en utilisant [[:ufw]] plutôt que [[:Shorewall]].
 </note>
-<note>Le principe de [[:partage]] fonctionne sur la notion de //serveur/////client//.\\
-Le //serveur//, que nous appellerons **PC1**, est celui qui propose l'accès à ses données.\\
-Le //client//, que nous appellerons **PC2**, est celui qui y accède pour les lire ou les modifier.</note>
+===== Partage NFS  =====
-Dans le cas de l'utilisation d'un [[:partage]] [[:NFS]], tant qu' un [[:pare-feu]] n'est pas actif, les données fournies par le **PC1** sont visible par le **PC2**.\\
+Le principe de partage fonctionne sur la notion de serveur/client.\\
-Néanmoins, un [[:pare-feu]] tel que [[:UFW]] peut-être nécessaire sur le **PC1** bloquant alors l'accès aux données depuis les autres machines du réseau.\\ Il est alors nécessaire de fixer les ports qui sont utilisés pour autoriser un [[:partage]] [[:NFS]].
+Le serveur est celui qui propose l'accès à ses données.\\
+Le client est celui qui y accède pour les lire ou les modifier. \\
-<note important>Toutes les manipulations indiquées dans cette page se font sur le **PC1**</note>
+<note important>Toutes les manipulations indiquées dans cette page se font sur le serveur.</note>
 ===== Fixer les ports =====
-Il s'agit de déterminer le port qui sera toujours utilisé pour le [[:partage]] [[:NFS]]. On appelle cela <<fixer un port>>.
+Il s'agit de déterminer le port qui sera toujours utilisé pour le [[:partage]] [[:NFS]]. On appel cela <<fixer un port>>.
 ==== pour mountd ====
 Pour déterminer le port, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/etc/default/nfs-kernel-server**\\
 commentez  (mettre un # devant) ''RPCMOUNTDOPTS=--manage-gids''  et mettez à la place:
-<code> RPCMOUNTDOPTS="--port 42002" </code>
+<file> RPCMOUNTDOPTS="--port 42002" </file>
-==== pour lockd ====
+==== Pour STATD ====
-Pour éviter l'altération des données si plusieurs //clients// se connectent en même temps, il faut [[:tutoriel:comment_modifier_un_fichier|ouvrir le fichier]] **/etc/modprobe.d/options** et y mettre cette ligne:
-<code> lockd nlm_udpport=42010 nlm_tcpport=42010 </code>
-<note>FIXME Si le blocage des ports ne semble pas effectif, d'après [[http://forum.ubuntu-fr.org/viewtopic.php?pid=3865997|ce thread]] il s'agirait de modifier le fichier /etc/sysclt.conf</note>
-==== Prise en compte des modifications====
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/nfs-common **\\
+<file> STATDOPTS="--port 42000" </file>
+vous pouvez aussi fixer le port de sortie pour STATD en modifiant la ligne précédente par celle-ci:
+<file> STATDOPTS="--port 42000 --outgoing-port 42001" </file>
+==== Pour QUOTAD ====
+La gestion des [[:quota|quotas]] n'est pas activée par défaut. Fixer ce port est donc optionnel.
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/quota **\\
+<file> RPCRQUOTADOPTS="-p 42769" </file>
+==== pour LOCKD ====
+Pour éviter l'altération des données si plusieurs //clients// se connectent en même temps\\ [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/modprobe.d/options.conf** et y mettre cette ligne:
+<file> options lockd nlm_udpport=42010 nlm_tcpport=42010 </file>
+<note> Si le nom de fichier options.conf ne vous conviens pas, vous pouvez le nommer comme bon vous semble tant qu'il fini par **.conf**</note>
+==== si LOCKSD prend toujours des ports aléatoires apres reboot ====
+Voir [[https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security|ici]]
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/sysctl.conf**
+<file>
+fs.nfs.nlm_tcpport=42010
+fs.nfs.nlm_udpport=42010
+</file>
+en fixant les mêmes ports pour UDP et TCP, **cela peut servir pour le parefeu UFW**.
+===== Prise en compte des modifications =====
 Afin de prendre en compte les modifications par le système, il faudra redémarrer votre machine.
-<note tip>FIXME A tester: relancer le service nfs par ''sudo invoke-rc.d nfs-kernel-server restart'' et peut-être aussi ''sudo invoke-rc.d nfs-common restart''. Il doit aussi falloir relancer un/des modules avec ''modprobe''</note>
+Sinon vous pouvez essayer les étapes suivantes :
+  *  Relancer le serveur NFS : <code>sudo invoke-rc.d nfs-kernel-server restart</code>
+  * Relancer portmap : <code>sudo invoke-rc.d portmap restart</code>
+  * Relancer le service rpc : <code>sudo rmmod sunrpc
+sudo modprobe sunrpc</code>
 ===== Vérification ======
@@ Ligne 68: / Ligne 92: @@
     3   udp  42002  mountd
     3   tcp  42002  mountd</code>
-On constate que les ports attribués pour nlockmgr et mountd (en tcp et udp) ne sont plus aléatoires mais bien ceux que nous avons [[#fixer les ports|fixés]].
+On constate que les ports ne sont plus attribués aléatoirement mais bien comme nous les avons [[#fixer les ports|fixé]].
-===== Paramétrer UFW =====
+Il sera alors possible de configurer votre [[:firewall]] en utilisant ces ports.
-Il ne reste plus qu'à paramétrer [[:UFW]] sur le **PC1** pour configurer Netfilter ((Netfilter est un module du noyau Linux qui offre la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit ainsi les fonctions de pare-feu, de partage de connexions internet et d'autorisation du trafic réseau.)), et ce pour chacun des ports [[#fixer les ports|préalablement fixés]] à savoir **42002** et **42010**.
-==== autoriser les ports ====
-Dans un [[:terminal]] saisissez:
-<code>
-  sudo ufw allow in 42002
-  sudo ufw allow in 42010
-</code>
-et si portmap et nfs ne sont pas déjà autorisé
-<code>
-sudo ufw allow sunrpc
-sudo ufw allow nfs
-</code>
-==== activer UFW ====
-Dans un [[:terminal]] saisissez:
-<code>sudo ufw enable</code>
+=====Voir aussi=====
+  * https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security
+  * [[wpfr>Network_File_System|NFS]]
 ----
+//Contributeurs :[[utilisateurs:ool]]//