On Mon, 21 Jun 2004 12:30:54 +0200
Didier MISSON wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Didier MISSON a écrit :
>
> |
> | Didier> mais le PC SERVEUR, il n'est pas tj à l'écoute sur le MEME
> | numéro de port pour NFS ?
>
> Non, pas du tout. C'est le cas pour tous les services RCP tels que
> NFS, c'est un autre daemon qui décide de leur allouer aléatoirement un
> port de communication.
> (Dites les gens de la liste, si je dis une connerie, rattrapez-moi
> avant que je ne m'enfonce trop dans l'erreur heion ! :-) )
>
> Kennedy van Dam Eric
>
>
> Didier> mais...
> -1- le premier "appel", quand le PC client prend contact avec le PC
> serveur, il doit qd mm bien se faire sur un numéro de port bien précis
> !? :o)
C'est là qu'intervient le rpc = remote procedure call qui lui va
répondre quelle sont les port à utiliser (détail NFS fonctionne
normalement en udp, mais les versions plus récentes accepte de
travailler en tcp)
fait man rpcinfo
> -2- si le numéro de port change totalement, comment tu configures un
> FW pour, par ex, n'autoriser une machine à ne faire QUE du NFS avec un
> serveur donné ?
Il y a des HOWTO pour le nfs encrypté (tunneling)
Si tu es sceptique, il te suffit de lire le NFS HOWTO qui
te l'expliquera
extrait
3.3 Le portmapper
Le portmapper de Linux est appelé soit portmap soit rpc.portmap.
La page de manuel sur mon système dit que c'est un convertisseur de
port DARPA vers numéro de programme RPC. C'est là que se trouve la
première faille de sécurité. La gestion de ce problème est décrite à
la section sur la sécurité, que, encore une fois, je vous invite très
fortement à lire.
Lancez le portmapper. Il devrait être dans le répertoire
/usr/sbin (sur quelques machines il est appelé rpcbind). Vous pouvez
le lancer à la main pour cette fois mais il devra être lancé à chaque
démarrage de la machine, il faudra donc créer ou éditer les scripts
rc. Les scripts rc sont décrits dans la page de manuel init, ils
sont généralement dans /etc/rc.d, /etc/init.d ou /etc/rc.d/init.d.
S'il y a un script qui a un nom du genre inet, c'est probablement
le script à éditer. Mais ce qu'il faut écrire ou faire sort du cadre
de ce HOWTO. Lancez portmap, et vérifiez qu'il tourne avec ps -aux,
puis rpcinfo -p. Il y est ? Benissimo.
Encore une chose. L'accès distant à votre portmapper est contrôlé
par le contenu de vos fichiers /etc/hosts.allow et
/etc/hosts.deny. Si rcpinfo -p échoue alors que le portmapper
tourne, vérifiez ces fichiers. Voyez la section sur la sécurité pour
les détails concernant ces fichiers.
man rpc (extrait)
First, the client calls a procedure to
send a data packet to the server. Upon receipt of the
packet, the server calls a dispatch routine to perform the
requested service, and then sends back a reply. Finally, the
procedure call returns to the client.
sinon man rpc
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech
