Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
nfs-ufw [Le 15/03/2011, 03:48]
0ol
nfs-ufw [Le 20/11/2017, 15:37] (Version actuelle)
129.175.152.220 [Fixer les ports pour un partage NFS]
Ligne 1: Ligne 1:
-{{tag> ​Lucid réseau ​pare-feu ​partage nfs tutoriel ​brouillon ​}}+{{tag> ​Trusty xenial ​réseau partage nfs sécurité ​tutoriel }}
 ---- ----
  
-====== partage NFS et Firewall (UFW ) ======+====== ​Fixer les ports pour un partage NFS ======
  
-{{nfs-ufw.png}}+Vous pouvez avoir besoin de fixer les [[wpfr>​Port_(logiciel)|ports]] utilisés par [[:NFS]] , lorsque votre [[:​partage]] doit se faire à travers un [[:​Firewall|pare-feu]] matériel ou logiciel ou un autre équipement filtrant.
  
-<​note>​Le principe de [[:​partage]] fonctionne sur la notion de //​serveur/////​client/​/.\\ +{{/nfs-ufw.png}}
-Le //​serveur//,​ que nous appellerons **PC1**, est celui qui propose l'​accès à ses données.\\ +
-Le //client//, que nous appellerons **PC2**, est celui qui y accède pour les lire ou les modifier.</​note>​+
  
  
-Dans le cas de l'​utilisation d'​un ​[[:​partage]] [[:NFS]], tant qu' ​un [[:​pare-feu]] n'est pas actif, les données fournies par le **PC1** sont visible par le **PC2**.\\ +<note tip>Pour sécuriser votre [[:​partage]] [[:​NFS]] ​à l'aide d'un [[:firewall|pare-feu]] ​vous pouvez suivre ce [[http://​wiki.debian.org/​SecuringNFS|tutoriel debian]] en utilisant ​[[:ufw]] plutôt que [[:Shorewall]]. 
-Néanmoins, ​un [[:​pare-feu]] ​tel que [[:UFW]] peut-être nécessaire sur le **PC1** bloquant alors l'​accès aux données depuis les autres machines du réseau.\\ Il est alors nécessaire de fixer les ports qui sont utilisés pour autoriser un [[:partage]] [[:NFS]].+</​note>​
  
-<note important>​Toutes les manipulations indiquées dans cette page se font sur le **PC1**</​note>​ 
  
 +===== Partage NFS  =====
 +
 +Le principe de partage fonctionne sur la notion de serveur/​client.\\
 +Le serveur est celui qui propose l'​accès à ses données.\\
 +Le client est celui qui y accède pour les lire ou les modifier. \\
 +
 +<note important>​Toutes les manipulations indiquées dans cette page se font sur le serveur.</​note>​
  
 ===== Fixer les ports ===== ===== Fixer les ports =====
  
-Il s'agit de déterminer le port qui sera toujours utilisé pour le [[:​partage]] [[:NFS]]. On appelle ​cela <<​fixer un port>>​.+Il s'agit de déterminer le port qui sera toujours utilisé pour le [[:​partage]] [[:NFS]]. On appel cela <<​fixer un port>>​.
  
-==== Pour mountd ==== +==== pour mountd ==== 
- +Pour déterminer le port, [[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​etc/​default/​nfs-kernel-server**\\ 
-[[:​tutoriel:​comment_modifier_un_fichier|ouvrez le fichier]] **/​etc/​default/​nfs-kernel-server**\\ +commentez ​ (mettre ​un # devant) ''​RPCMOUNTDOPTS=--manage-gids'' ​ et mettez à la place: 
-commentez ​ (en mettant ​un # devant) ''​RPCMOUNTDOPTS=--manage-gids'' ​ et mettez à la place: +<file> RPCMOUNTDOPTS="​--port 42002" </file>
-<code> RPCMOUNTDOPTS="​--port 42002" </code>+
  
 ==== Pour STATD ==== ==== Pour STATD ====
  
-[[:​tutoriel:​comment_modifier_un_fichier|ouvrez ​le fichier]] ** /​etc/​default/​nfs-common **\\ +[[:​tutoriel:​comment_modifier_un_fichier|Ouvrez ​le fichier]] ** /​etc/​default/​nfs-common **\\ 
-<code> STATDOPTS="​--port 42000" </code>+<file> STATDOPTS="​--port 42000" </file> 
 +vous pouvez aussi fixer le port de sortie pour STATD en modifiant la ligne précédente par celle-ci: 
 +<​file>​ STATDOPTS="​--port 42000 --outgoing-port 42001" </file>
  
 ==== Pour QUOTAD ==== ==== Pour QUOTAD ====
 +La gestion des [[:​quota|quotas]] n'est pas activée par défaut. Fixer ce port est donc optionnel.
  
-[[:​tutoriel:​comment_modifier_un_fichier|ouvrez ​le fichier]] ** /​etc/​default/​quota **\\ +[[:​tutoriel:​comment_modifier_un_fichier|Ouvrez ​le fichier]] ** /​etc/​default/​quota **\\ 
-<code> RPCRQUOTADOPTS="​-p 42769" </code>+<file> RPCRQUOTADOPTS="​-p 42769" </file>
  
-==== Pour lockd ==== +==== pour LOCKD ==== 
-Evite l'​altération des données si plusieurs //clients// se connectent en même temps.+Pour éviter ​l'​altération des données si plusieurs //clients// se connectent en même temps\\ [[:​tutoriel:​comment_modifier_un_fichier|Ouvrez le fichier]] **/​etc/​modprobe.d/​options.conf** et y mettre cette ligne: 
 +<​file>​ options lockd nlm_udpport=42010 nlm_tcpport=42010 </​file>​ 
 +<​note>​ Si le nom de fichier options.conf ne vous conviens pas, vous pouvez le nommer comme bon vous semble tant qu'il fini par **.conf**</​note>​ 
 +==== si LOCKSD prend toujours des ports aléatoires apres reboot ==== 
 +Voir [[https://​www.ens-lyon.fr/​PSI/​technique/​doku.php?​id=debian:​security|ici]]
  
-Il faut [[:​tutoriel:​comment_modifier_un_fichier|ouvrir ​le fichier]] **/etc/modprobe.d/​options.conf ** (le créer si ce dernier n'​existe pas encore) et y mettre cette ligne: +[[:​tutoriel:​comment_modifier_un_fichier|Ouvrez ​le fichier]] **/etc/sysctl.conf** 
-<codeoptions lockd nlm_udpport=42010 ​nlm_tcpport=42010 ​</​code>​ +<file> 
-<​note>​FIXME Si le blocage des ports ne semble pas effectif, d'​après [[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=3865997|ce thread]] il suffirait de modifier le fichier /​etc/​sysclt.conf</note>+fs.nfs.nlm_tcpport=42010 
 +fs.nfs.nlm_udpport=42010 
 +</file>
  
-==== Prise en compte des modifications====+en fixant les mêmes ports pour UDP et TCP, **cela peut servir pour le parefeu UFW**.
  
 +===== Prise en compte des modifications =====
 Afin de prendre en compte les modifications par le système, il faudra redémarrer votre machine. Afin de prendre en compte les modifications par le système, il faudra redémarrer votre machine.
-<note tip>​FIXME relancer le service nfs par ''​sudo invoke-rc.d nfs-kernel-server restart''​. A tester: ​ Il doit aussi falloir recharger un/des modules avec ''​rmmod''​ et un ''​modprobe''​ </​note>​ 
  
 +Sinon vous pouvez essayer les étapes suivantes :​
 +  *  Relancer le serveur NFS : <​code>​sudo invoke-rc.d nfs-kernel-server restart</​code>​
 +  * Relancer portmap : <​code>​sudo invoke-rc.d portmap restart</​code>​
 +  * Relancer le service rpc : <​code>​sudo rmmod sunrpc
 +sudo modprobe sunrpc</​code>​
 ===== Vérification ====== ===== Vérification ======
  
Ligne 75: Ligne 92:
     100005 ​   3   ​udp ​ 42002  mountd     100005 ​   3   ​udp ​ 42002  mountd
     100005 ​   3   ​tcp ​ 42002  mountd</​code>​     100005 ​   3   ​tcp ​ 42002  mountd</​code>​
-On constate que les ports attribués pour nlockmgr et mountd (en tcp et udp) ne sont plus aléatoires ​mais bien ceux que nous avons [[#fixer les ports|fixés]].+     
 +On constate que les ports ne sont plus attribués aléatoirement ​mais bien comme nous les avons [[#fixer les ports|fixé]]
 +Il sera alors possible de configurer votre [[:​firewall]] en utilisant ces ports.
  
-===== Paramétrer UFW ===== +=====Voir aussi===== 
- +  * https://​www.ens-lyon.fr/​PSI/​technique/​doku.php?​id=debian:​security 
-Il ne reste plus qu'à paramétrer [[:UFW]] sur le **PC1** pour configurer Netfilter ((Netfilter est un module du noyau Linux qui offre la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit ainsi les fonctions de pare-feu, de partage de connexions internet et d'​autorisation du trafic réseau.)), et ce pour chacun des ports [[#fixer les ports|préalablement fixés]] à savoir **42002** et **42010**. +  [[wpfr>​Network_File_System|NFS]]
- +
-==== Ouvrir les ports correspondants ==== +
- +
-Dans un [[:​terminal]] saisissez:​ +
-<​code>​ +
-  ​sudo ufw allow in 42002 +
-  sudo ufw allow in 42010 +
-</​code>​ +
-et si portmap et nfs ne sont pas déjà autorisés +
-<​code>​ +
-sudo ufw allow sunrpc +
-sudo ufw allow nfs +
-</​code>​ +
- +
-==== Activer ufw ==== +
- +
-Dans un [[:​terminal]] saisissez : +
-<​code>​sudo ufw enable</​code>​ +
- +
- +
-==== Liens ==== +
- +
- * https://​www.ens-lyon.fr/​PSI/​technique/​doku.php?​id=debian:​security\\ +
- ​* ​http://​wiki.debian.org/​SecuringNFS+
  
 ---- ----
 //​Contributeurs :​[[utilisateurs:​ool]]//​ //​Contributeurs :​[[utilisateurs:​ool]]//​
- 
  • nfs-ufw.1300157308.txt.gz
  • Dernière modification: Le 15/03/2011, 03:48
  • par 0ol