Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 31-05-2015 16:00:41

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

partage nfs et pare-feu

suite a ce fil => https://debian-facile.org/viewtopic.php … 30#p123030

modifications a apporter à nfs (à vérifier )
commande


nano /etc/default/nfs-kernel-server
 


retour


# Number of servers to start up
RPCNFSDCOUNT=8

# Runtime priority of server (see nice(1))
RPCNFSDPRIORITY=0

# Options for rpc.mountd.
# If you have a port-based firewall, you might want to set up
# a fixed port here using the --port option. For more information,
# see rpc.mountd(8) or http://wiki.debian.org/SecuringNFS
# To disable NFSv4 on the server, specify '--no-nfs-version 4' here
#RPCMOUNTDOPTS="--manage-gids"
RPCMOUNTDOPTS="--manage-gids --port 2048"

# Do you want to start the svcgssd daemon? It is only required for Kerberos
# exports. Valid alternatives are "yes" and "no"; the default is "no".
NEED_SVCGSSD=""

# Options for rpc.svcgssd.
RPCSVCGSSDOPTS=""
 


commande


/etc/default/nfs-common
 


retour


# If you do not set values for the NEED_ options, they will be attempted
# autodetected; this should be sufficient for most people. Valid alternatives
# for the NEED_ options are "yes" and "no".

# Do you want to start the statd daemon? It is not needed for NFSv4.
NEED_STATD=

# Options for rpc.statd.
#   Should rpc.statd listen on a specific port? This is especially useful
#   when you have a port-based firewall. To use a fixed port, set this
#   this variable to a statd argument like: "--port 4000 --outgoing-port 4001".
#   For more information, see rpc.statd(8) or [url]http://wiki.debian.org/SecuringNFS[/url]
#STATDOPTS=
STATDOPTS="--port 2046 --outgoing-port 2047"

# Do you want to start the idmapd daemon? It is only needed for NFSv4.
NEED_IDMAPD=

# Do you want to start the gssd daemon? It is required for Kerberos mounts.
NEED_GSSD=
 


commande


/etc/modprobe.d/lockd
 


retour


options lockd nlm_udpport=2045 nlm_tcpport=2045
 



rpc.mountd emploie le port 2048
rpc.statd ecoute le port 2046 et utilise le port 2047 pour les connections sortantes

ce sont les ports 111 et 2045 à 2049 (udp et tcp ) à surveiller .

il reste a créer une règle pour le pare-feu (serveur et client ), et pour limiter le sniffer et spoofing je sais pas  hmm



-A INPUT -i eth0 -p tcp -m tcp --sport 2045:2049 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 2045:2049 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 111 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 111 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 2045:2049 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 2045:2049 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 111 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 111 -j ACCEPT

 



avec ceci au dessus (coté serveur) j'ai acces a mon partage

Dernière modification par robert2a (31-05-2015 20:12:55)

Hors ligne

#2 31-05-2015 20:52:42

raleur
Membre
Inscription : 03-10-2014

Re : partage nfs et pare-feu

Côté serveur ? J'aurais plutôt pensé côté client (requêtes en sortie et réponses en entrée).

Par contre les règles INPUT avec --sport sont dangereuses : elles acceptent un paquet TCP ou UDP avec n'importe quel port de destination local pourvu que le port source soit un de ceux autorisés. Pas génial pour limiter le scan de ports... Pour éviter ce genre de faille il faut utiliser le suivi de connexion (-m state --state ESTALBLISHED).

Dernière modification par raleur (31-05-2015 20:53:52)

Hors ligne

#3 31-05-2015 21:14:08

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : partage nfs et pare-feu

Bonsoir
j'ai appliqué les regles ci dessus coté serveur et coté client (identiques des 2 cotés).
je suis un peu perdu la. Comme pour la plateforme de jeux steam (et nfs ) si j utilise -m --state ESTABLISHED la connection ne se fait pas .

ci dessous pour steam (elle utilise les ports de 27000 a 27050 ) plus d autres que j utilise pas


-A INPUT -i eth0 -p udp -m udp --sport 27000:27050 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 27000:27050 -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 27000:27050 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 27000:27050 -j ACCEPT
 


a priori nfs a besoin d udp et de tcp sur tous les ports utilisés (111 , 2045 , 2046 , 2047 , 2048 , 2049 ) comme steam (udp et tcp )
si je fais la commande


iptables -L
 


retour


ACCEPT     udp  --  anywhere             anywhere             udp spts:27000:27050
ACCEPT     tcp  --  anywhere             anywhere             tcp spts:27000:27050
ACCEPT     tcp  --  anywhere             anywhere             tcp spts:2045:nfs
ACCEPT     udp  --  anywhere             anywhere             udp spts:2045:nfs
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:sunrpc
ACCEPT     udp  --  anywhere             anywhere             udp spt:sunrpc



ACCEPT     udp  --  anywhere             anywhere             udp dpts:27000:27050
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:27000:27050
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:2045:nfs
ACCEPT     udp  --  anywhere             anywhere             udp dpts:2045:nfs
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:sunrpc
ACCEPT     udp  --  anywhere             anywhere             udp dpt:sunrpc
 



pour nfs j ai forcé l utilisation de ces ports (voir explications au dessus ) pour pouvoir justement filtrer avec un pare-feu

pour nfs il est sur un sous-réseau en 192.168.10.0 derriere une passerelle avec un reseau local en 192.168.1.0 derriere une box , la passerelle n a pas de pare-feu je n arrive pas a le mettre en place .
les clients linux sont sur le sous-reseau (192.168.10.0) avec pare-feu .
ipv6 est désactivé sur la passerelle et tous les clients linux du sous-réseau
le dns (il est maitre) et le dhcp sont installés sur la passerelle avec un domaine local sur le sous-réseau (192.168.10.0).
enfin nfs est sur une machine cliente (serveur) du sous-reseau en ip fixe (sur cette machine il y a aussi la plateforme de jeux steam , serveur cups   etc ....  )

Nota
La regle est pas bonne j'avais oublié de remettre le pare-feu en service coté serveur roll tongue
le partage ne fonctionne plus sad
donc je vai chercher une autre solution hmm

Dernière modification par robert2a (31-05-2015 22:10:19)

Hors ligne

Pied de page des forums