Faire un montage NFS dans un environnement sécurisé (Redhat)

An article by Olivier Legras    Pas de Commentaire

Lorsque vous avez un firwall entre deux serveurs qui communique en NFS, vous pouvez rencontrer des problèmes pour le filtrage. Par défaut, NFS utilise des ports  aléatoire et dans ce cas, nous ne pouvons pas établir de règles précises.

Dans cet article, nous allons voir comment fixer ces ports et ainsi filtrer le plus précisément possible.

Je pars du principe que la communication NFS entre le serveur fonctionne déjà. Si ce n’est pas le cas, reportez-vous à cet article :

http://www.croc-informatique.fr/2008/11/configuration-nfs-sur-linux/

Mise en oeuvre :

Affichez les ports actuellement utilisés par NFS :

[root@linux root]# rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  32768  status
    100024    1   tcp  32768  status
    391002    2   tcp  32769  sgi_fam
    100011    1   udp    904  rquotad
    100011    2   udp    904  rquotad
    100011    1   tcp    907  rquotad
    100011    2   tcp    907  rquotad
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100021    1   udp  39491  nlockmgr
    100021    3   udp  39491  nlockmgr
    100021    4   udp  39491  nlockmgr
    100021    1   tcp  37919  nlockmgr
    100021    3   tcp  37919  nlockmgr
    100021    4   tcp  37919  nlockmgr
    100005    1   udp    922  mountd
    100005    1   tcp    925  mountd
    100005    2   udp    922  mountd
    100005    2   tcp    925  mountd
    100005    3   udp    922  mountd
    100005    3   tcp    925  mountd

Créé le fichier /etc/sysconfig/nfs et inséré ces lignes :

STATD_PORT=4001
LOCKD_TCPPORT=4002
LOCKD_UDPPORT=4002
MOUNTD_PORT=4003

STATD_PORT permet de fixer les port status

LOCKD permet de fixer les ports nlockmgr en UDP et TCP

MOUNTD_PORT permet de fixerles ports mountd

Ajoutez ces lignes dans le fichier /etc/services :

rquotad 4004/tcp # rpc.rquotad tcp port
rquotad 4004/udp # rpc.rquotad udp port

Cela permet de fixer les port rquotad.

Redémarrer NFS :

/etc/init.d/nfs restart

Redmarrer  NFS LOCK :

/etc/init.d/nfslock restart

Affichez de nouveau les ports utilisés par NFS :

[root@linux root]# rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    391002    2   tcp  32769  sgi_fam
    100011    1   udp   4004  rquotad
    100011    2   udp   4004  rquotad
    100011    1   tcp   4004  rquotad
    100011    2   tcp   4004  rquotad
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100021    1   udp   4002  nlockmgr
    100021    3   udp   4002  nlockmgr
    100021    4   udp   4002  nlockmgr
    100021    1   tcp   4002  nlockmgr
    100021    3   tcp   4002  nlockmgr
    100021    4   tcp   4002  nlockmgr
    100005    1   udp   4003  mountd
    100005    1   tcp   4003  mountd
    100005    2   udp   4003  mountd
    100005    2   tcp   4003  mountd
    100005    3   udp   4003  mountd
    100005    3   tcp   4003  mountd
    100024    1   udp   4001  status
    100024    1   tcp   4001  status

Voilà, vous n’avez plus qu’a laisser passer les ports 111:tcp, 111:udp, 2049:tcp, 2049:udp, 4001:tcp, 4001:udp, 4002:tcp, 4002:udp, 4003:tcp, 4003:udp, 4004:tcp, 4004:udp sur votre firewall.