Différences

Ci-dessous, les différences entre deux révisions de la page.

--- nfs-ufw [Le 17/01/2011, 20:29] – 0ol
+++ nfs-ufw [Le 01/09/2022, 00:08] (Version actuelle) – Passage de http à https sur les liens externes (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) moths-art
@@ Ligne 1: / Ligne 1: @@
-{{tag> Lucid réseau pare-feu partage nfs tutoriel }}
+{{tag> Trusty xenial réseau partage nfs sécurité tutoriel }}
 ----
-====== partage NFS et Firewall (UFW ) ======
+====== Fixer les ports pour un partage NFS ======
-{{nfs-ufw.png}}
+Vous pouvez avoir besoin de fixer les [[wpfr>Port_(logiciel)|ports]] utilisés par [[:NFS]] , lorsque votre [[:partage]] doit se faire à travers un [[:Firewall|pare-feu]] matériel ou logiciel ou un autre équipement filtrant.
-<note>Le principe de [[:partage]] fonctionne sur la notion de //serveur/////client//.\\
+{{/nfs-ufw.png}}
-Le //serveur// est celui qui propose l'accès à ses données. Le //client// celui qui y accède pour les lire ou les modifier.</note>
-Dans le cas de l'utilisation d'un [[:partage]] [[:NFS]], tant qu' un [[:pare-feu]] n'est pas actif, les données fournies par le PC //serveur// sont visible par le PC //client//.\\
-Néanmoins, un [[:pare-feu]] tel que [[:UFW]] peut-être nécessaire sur le PC //serveur// bloquant alors l'accès aux données depuis les autres machines du réseau.\\ Il est alors nécessaire de fixer les ports qui sont utilisés pour autoriser un [[:partage]] [[:NFS]].
-<note important>Toutes les manipulations indiquées dans cette page se font sur le **PC //serveur//**</note>
+<note tip>Pour sécuriser votre [[:partage]] [[:NFS]] à l'aide d'un [[:firewall|pare-feu]] vous pouvez suivre ce [[https://wiki.debian.org/SecuringNFS|tutoriel debian]] en utilisant [[:ufw]] plutôt que [[:Shorewall]].
+</note>
+===== Partage NFS  =====
+Le principe de partage fonctionne sur la notion de serveur/client.\\
+Le serveur est celui qui propose l'accès à ses données.\\
+Le client est celui qui y accède pour les lire ou les modifier. \\
+<note important>Toutes les manipulations indiquées dans cette page se font sur le serveur.</note>
 ===== Fixer les ports =====
-Il s'agit de déterminer le port qui sera toujours utilisé pour le [[:partage]] [[:NFS]]. On appel celà <<fixer un port>>.
+Il s'agit de déterminer le port qui sera toujours utilisé pour le [[:partage]] [[:NFS]]. On appel cela <<fixer un port>>.
 ==== pour mountd ====
 Pour déterminer le port, [[:tutoriel:comment_modifier_un_fichier|ouvrez le fichier]] **/etc/default/nfs-kernel-server**\\
 commentez  (mettre un # devant) ''RPCMOUNTDOPTS=--manage-gids''  et mettez à la place:
-<code> RPCMOUNTDOPTS="--port 42002" </code>
+<file> RPCMOUNTDOPTS="--port 42002" </file>
-==== pour lockd ====
+==== Pour STATD ====
-Pour éviter l'altération des données si plusieurs //clients// se connectent en même temps, il faut [[:tutoriel:comment_modifier_un_fichier|ouvrir le fichier]] **/etc/modprobe.d/options** et y mettre cette ligne:
-<code> lockd nlm_udpport=42010 nlm_tcpport=42010 </code>
-<note>FIXME Si le blocage des ports ne semble pas effectif, d'après [[http://forum.ubuntu-fr.org/viewtopic.php?pid=3865997|ce thread]] il s'agirait de modifier le fichier /etc/sysclt.conf</note>
-==== Prise en compte des modifications====
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/nfs-common **\\
+<file> STATDOPTS="--port 42000" </file>
+vous pouvez aussi fixer le port de sortie pour STATD en modifiant la ligne précédente par celle-ci:
+<file> STATDOPTS="--port 42000 --outgoing-port 42001" </file>
+==== Pour QUOTAD ====
+La gestion des [[:quota|quotas]] n'est pas activée par défaut. Fixer ce port est donc optionnel.
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] ** /etc/default/quota **\\
+<file> RPCRQUOTADOPTS="-p 42769" </file>
+==== pour LOCKD ====
+Pour éviter l'altération des données si plusieurs //clients// se connectent en même temps\\ [[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/modprobe.d/options.conf** et y mettre cette ligne:
+<file> options lockd nlm_udpport=42010 nlm_tcpport=42010 </file>
+<note> Si le nom de fichier options.conf ne vous conviens pas, vous pouvez le nommer comme bon vous semble tant qu'il fini par **.conf**</note>
+==== si LOCKSD prend toujours des ports aléatoires apres reboot ====
+Voir [[https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security|ici]]
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/sysctl.conf**
+<file>
+fs.nfs.nlm_tcpport=42010
+fs.nfs.nlm_udpport=42010
+</file>
+en fixant les mêmes ports pour UDP et TCP, **cela peut servir pour le parefeu UFW**.
+===== Prise en compte des modifications =====
 Afin de prendre en compte les modifications par le système, il faudra redémarrer votre machine.
-<note tip>FIXME A tester: relancer le service nfs par ''sudo invoke-rc.d nfs-kernel-server restart'' et peut-être aussi ''sudo invoke-rc.d nfs-common restart''. Il doit aussi falloir relancer un/des modules avec ''modprobe''</note>
+Sinon vous pouvez essayer les étapes suivantes :
+  *  Relancer le serveur NFS : <code>sudo invoke-rc.d nfs-kernel-server restart</code>
+  * Relancer portmap : <code>sudo invoke-rc.d portmap restart</code>
+  * Relancer le service rpc : <code>sudo rmmod sunrpc
+sudo modprobe sunrpc</code>
 ===== Vérification ======
-Pour connaitre les ports de communication utilisés par le pc //serveur//, dans un [[:terminal]] saisissez:
+Pour connaitre les ports de communication utilisés par le **PC1**, dans un [[:terminal]] saisissez:
 <code>rpcinfo -p</code>
 La commande devrait vous donner un résultat proche de celui-ci:
@@ Ligne 58: / Ligne 92: @@
     3   udp  42002  mountd
     3   tcp  42002  mountd</code>
-On constate que les ports attribués pour nlockmgr et mountd (en tcp et udp) ne sont plus aléatoires mais bien ceux que nous avons [[#fixer les ports|fixés]].
+On constate que les ports ne sont plus attribués aléatoirement mais bien comme nous les avons [[#fixer les ports|fixé]].
+Il sera alors possible de configurer votre [[:firewall]] en utilisant ces ports.
-===== Paramétrer UFW =====
+=====Voir aussi=====
+  * https://www.ens-lyon.fr/PSI/technique/doku.php?id=debian:security
-<note important>Il vous faudra connaitre l'adresse IP du PC **//client//**.\\
+  * [[wpfr>Network_File_System|NFS]]
-Pour se faire dans un [[:terminal]] du PC //client//, saisissez: <code>ifconfig | grep inet</code>
-Vous devriez voir par exemple une adresse du type **''192.168.0.10''**.\\
-Il ne faut pas tenir compte de l'adresse particulière ''127.0.0.1''.</note>
-Il ne reste plus qu'à paramétrer [[:UFW]] sur le PC //serveur// pour configurer Netfilter ((Netfilter est un module du noyau Linux qui offre la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit ainsi les fonctions de pare-feu, de partage de connexions internet et d'autorisation du trafic réseau.)), et ce pour chacun des ports [[#fixer les ports|préalablement fixés]] à savoir **42002** et **42010**.
-==== autoriser les ports ====
-Dans un [[:terminal]] saisissez:
-<code>
-  sudo ufw allow in 42002
-  sudo ufw allow in 42010
-</code>
-et si portmap et nfs ne sont pas déjà autorisé
-<code>
-sudo ufw allow sunrpc
-sudo ufw allow nfs
-</code>
-==== activer UFW ====
-Dans un [[:terminal]] saisissez:
-<code>sudo ufw enable</code>
 ----
+//Contributeurs :[[utilisateurs:ool]]//

Différences

Outils pour utilisateurs

Outils du site

Outils de la page

Divers