7
2008
Faire un montage NFS dans un environnement sécurisé (Redhat)
Lorsque vous avez un firwall entre deux serveurs qui communique en NFS, vous pouvez rencontrer des problèmes pour le filtrage. Par défaut, NFS utilise des ports aléatoire et dans ce cas, nous ne pouvons pas établir de règles précises.
Dans cet article, nous allons voir comment fixer ces ports et ainsi filtrer le plus précisément possible.
Je pars du principe que la communication NFS entre le serveur fonctionne déjà. Si ce n’est pas le cas, reportez-vous à cet article :
http://www.croc-informatique.fr/2008/11/configuration-nfs-sur-linux/
Mise en oeuvre :
Affichez les ports actuellement utilisés par NFS :
[root@linux root]# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 32768 status
100024 1 tcp 32768 status
391002 2 tcp 32769 sgi_fam
100011 1 udp 904 rquotad
100011 2 udp 904 rquotad
100011 1 tcp 907 rquotad
100011 2 tcp 907 rquotad
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100021 1 udp 39491 nlockmgr
100021 3 udp 39491 nlockmgr
100021 4 udp 39491 nlockmgr
100021 1 tcp 37919 nlockmgr
100021 3 tcp 37919 nlockmgr
100021 4 tcp 37919 nlockmgr
100005 1 udp 922 mountd
100005 1 tcp 925 mountd
100005 2 udp 922 mountd
100005 2 tcp 925 mountd
100005 3 udp 922 mountd
100005 3 tcp 925 mountd
Créé le fichier /etc/sysconfig/nfs et inséré ces lignes :
STATD_PORT=4001
LOCKD_TCPPORT=4002
LOCKD_UDPPORT=4002
MOUNTD_PORT=4003
STATD_PORT permet de fixer les port status
LOCKD permet de fixer les ports nlockmgr en UDP et TCP
MOUNTD_PORT permet de fixerles ports mountd
Ajoutez ces lignes dans le fichier /etc/services :
rquotad 4004/tcp # rpc.rquotad tcp port
rquotad 4004/udp # rpc.rquotad udp port
Cela permet de fixer les port rquotad.
Redémarrer NFS :
/etc/init.d/nfs restart
Redmarrer NFS LOCK :
/etc/init.d/nfslock restart
Affichez de nouveau les ports utilisés par NFS :
[root@linux root]# rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
391002 2 tcp 32769 sgi_fam
100011 1 udp 4004 rquotad
100011 2 udp 4004 rquotad
100011 1 tcp 4004 rquotad
100011 2 tcp 4004 rquotad
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100021 1 udp 4002 nlockmgr
100021 3 udp 4002 nlockmgr
100021 4 udp 4002 nlockmgr
100021 1 tcp 4002 nlockmgr
100021 3 tcp 4002 nlockmgr
100021 4 tcp 4002 nlockmgr
100005 1 udp 4003 mountd
100005 1 tcp 4003 mountd
100005 2 udp 4003 mountd
100005 2 tcp 4003 mountd
100005 3 udp 4003 mountd
100005 3 tcp 4003 mountd
100024 1 udp 4001 status
100024 1 tcp 4001 status
Voilà, vous n’avez plus qu’a laisser passer les ports 111:tcp, 111:udp, 2049:tcp, 2049:udp, 4001:tcp, 4001:udp, 4002:tcp, 4002:udp, 4003:tcp, 4003:udp, 4004:tcp, 4004:udp sur votre firewall.
Laissez un commentaire
Publicité :)
Articles récents
- Memento VI – Boostez Votre Productivité avec Vi : Trucs et Astuces à Connaître
- Configuration de Nginx pour Obtenir l’IP Réelle des Visiteurs avec CloudFlare
- Récupérer les informations d’un Ordinateur Terra à partir du numéros de série avec Python
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc…
- Failed to Start File System Check – Vcenter 7
Mot-clefs
Commentaires récents
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Rotation des logs avec logrotate dans
- Hôte déconnecté sur le Vcenter. Impossible de se connecter à l’ESX. dans
- Pourquoi mon interface vlan ne veut pas devenir up ? dans