Re: erreur mount et RPC

Startseite

Nachricht beantworten
Autor: Francois-Xavier Kowalski
Datum:  
To: gplservice.fr Sylvain Letuffe
CC: guilde
Betreff: Re: erreur mount et RPC
gplservice.fr Sylvain Letuffe wrote:

>On Vendredi 21 Février 2003 15:05, Hervé de Dianous wrote:
>
>
>>gplservice.fr Sylvain Letuffe wrote:
>>
>>
>>>Il faut donc procéder par étapes
>>>
>>>si tu trouves un moment ou le Net n'est plus utilisé coupe ton fw
>>>et relance ton mount...
>>>
>>>
>>çà fonctionne,
>>Et si je relance ppp çà marche aussi.
>>Par contre, si je relance netfilter, non !
>>J'en déduit que çà viens de netfilter,
>>Pourtant si je fait : netstat -taupe 192.168.1.254
>>
>>j'ai :
>>tcp    0    0 *:sunrpc        *:*     LISTEN

>>
>>ce qui semblerait indiquer que le port 111 est bien à l'écoute !!?
>>
>>
>
>certes il est à l'écoute, mais le paquet n'arrive pas jusqu'a lui !!
>tu as la couche de filtrage netfilter bien avant.
>
>ton systeme peut bien être en "LISTEN" mais les règles iptables vont jeter le
>paquet.
>
>tu as vraiment besoin de sécuriser l'accès du LAN vers ton serveur ?
>sinon tu laisses passez udp et tcp et tu es tranquille
>sinon je pense que udp:111 et tcp:111 ouvert devrait régler ton pb
>


 grep 111 /etc/services
sunrpc          111/tcp         portmapper      # RPC 4.0 portmapper TCP
sunrpc          111/udp         portmapper      # RPC 4.0 portmapper UDP


J'ai essaye une manip equivalente (Utiliser NFS avec le firewall
active). Force tcpdump pour observer le traffic... Conclusions actuelles:

    * Ouvrir le port 111 (udp suffit) suffit a faire communiquer les
      portmappers entre eux (et donc a faire apparaitre, par exemple, le
      resultat d'un "showmount -e"),
    * Pour ce qui est des montages NFS, ils utilisent la fonctionalite
      premiere du portmapper a savoir l'enregistrement de ports
      dynamiques aupres d'un service commun. tcpdump est tres clair:
      tous les dialogues de montages se passent sequentiellement sur des
      ports differents... :-(


Ma config actuelle est donc "pas de f/w". Ce qui n'est pas
satisfaisant.... :-(

Comme nous ne sommes sans doutes pas les premiers a devoir traiter ce
probleme, j'imagine qu'il est possible de lancer les demons nfs (dont le
module knfsd) en leur indiquant une plage de ports autorises. Apres il
suffirait d'ouvrir le f/w pour cette plage uniquement. Qq'un a essaye ca?

FiX

--
Francois-Xavier 'FiX' KOWALSKI