On Mon, 21 Jun 2004 12:30:54 +0200 Didier MISSON wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Didier MISSON a écrit : > > | > | Didier> mais le PC SERVEUR, il n'est pas tj à l'écoute sur le MEME > | numéro de port pour NFS ? > > Non, pas du tout. C'est le cas pour tous les services RCP tels que > NFS, c'est un autre daemon qui décide de leur allouer aléatoirement un > port de communication. > (Dites les gens de la liste, si je dis une connerie, rattrapez-moi > avant que je ne m'enfonce trop dans l'erreur heion ! :-) ) > > Kennedy van Dam Eric > > > Didier> mais... > -1- le premier "appel", quand le PC client prend contact avec le PC > serveur, il doit qd mm bien se faire sur un numéro de port bien précis > !? :o)
C'est là qu'intervient le rpc = remote procedure call qui lui va répondre quelle sont les port à utiliser (détail NFS fonctionne normalement en udp, mais les versions plus récentes accepte de travailler en tcp) fait man rpcinfo > -2- si le numéro de port change totalement, comment tu configures un > FW pour, par ex, n'autoriser une machine à ne faire QUE du NFS avec un > serveur donné ? Il y a des HOWTO pour le nfs encrypté (tunneling) Si tu es sceptique, il te suffit de lire le NFS HOWTO qui te l'expliquera extrait 3.3 Le portmapper Le portmapper de Linux est appelé soit portmap soit rpc.portmap. La page de manuel sur mon système dit que c'est un convertisseur de port DARPA vers numéro de programme RPC. C'est là que se trouve la première faille de sécurité. La gestion de ce problème est décrite à la section sur la sécurité, que, encore une fois, je vous invite très fortement à lire. Lancez le portmapper. Il devrait être dans le répertoire /usr/sbin (sur quelques machines il est appelé rpcbind). Vous pouvez le lancer à la main pour cette fois mais il devra être lancé à chaque démarrage de la machine, il faudra donc créer ou éditer les scripts rc. Les scripts rc sont décrits dans la page de manuel init, ils sont généralement dans /etc/rc.d, /etc/init.d ou /etc/rc.d/init.d. S'il y a un script qui a un nom du genre inet, c'est probablement le script à éditer. Mais ce qu'il faut écrire ou faire sort du cadre de ce HOWTO. Lancez portmap, et vérifiez qu'il tourne avec ps -aux, puis rpcinfo -p. Il y est ? Benissimo. Encore une chose. L'accès distant à votre portmapper est contrôlé par le contenu de vos fichiers /etc/hosts.allow et /etc/hosts.deny. Si rcpinfo -p échoue alors que le portmapper tourne, vérifiez ces fichiers. Voyez la section sur la sécurité pour les détails concernant ces fichiers. man rpc (extrait) First, the client calls a procedure to send a data packet to the server. Upon receipt of the packet, the server calls a dispatch routine to perform the requested service, and then sends back a reply. Finally, the procedure call returns to the client. sinon man rpc _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech