From 293870c43650ac76f3270ef06d632460801d352b Mon Sep 17 00:00:00 2001 From: Nicolas Dandrimont Date: Tue, 2 Mar 2010 16:32:59 +0100 Subject: [PATCH] =?UTF-8?q?[firewall]=20Ouverture=20des=20ports=20n=C3=A9c?= =?UTF-8?q?essaires=20au=20NFS?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Les ports ouverts sont : - portmap (111) - NFS (2049) - statd (32765, 32766) - mountd (32767) - quotad (32768) Pour forcer les ports, on utilise sur fx les instructions de http://wiki.debian.org/SecuringNFS darcs-hash:20100302153259-ffbb2-3a33f9d302ed2af1c2bc884c5e468f6a3384bf7f.gz --- gestion/gen_confs/firewall.py | 6 ++++-- 1 file changed, 4 insertions(+), 2 deletions(-) diff --git a/gestion/gen_confs/firewall.py b/gestion/gen_confs/firewall.py index ec2b26d9..bbdedb8b 100644 --- a/gestion/gen_confs/firewall.py +++ b/gestion/gen_confs/firewall.py @@ -1058,6 +1058,7 @@ class firewall_zamok(firewall_crans) : # interfaces physiques eth_pub = "crans" eth_adm = "crans.2" + nfs_ports = ["111", "2049", "32765:32769"] def serv_out_adm(self) : self.anim = anim('\tOutput vers VLAN adm', len(adm_users)) @@ -1077,8 +1078,9 @@ class firewall_zamok(firewall_crans) : iptables("-A SERV_OUT_ADM -p udp --dport domain -j ACCEPT") # Pour le nfs (le paquet à laisser passer n'a pas d'owner) - iptables("-A SERV_OUT_ADM -d nfs.adm.crans.org -m owner ! --uid-owner 0 -j REJECT --reject-with icmp-net-prohibited") - iptables("-A SERV_OUT_ADM -d nfs.adm.crans.org -j ACCEPT") + for port in self.nfs_ports: + iptables("-A SERV_OUT_ADM -p tcp --dport %s -d fx.adm.crans.org -j ACCEPT" % port) + iptables("-A SERV_OUT_ADM -p udp --dport %s -d fx.adm.crans.org -j ACCEPT" % port) # Rien d'autre ne passe iptables("-A SERV_OUT_ADM -j REJECT --reject-with icmp-net-prohibited")