Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1001 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Cloisonnement NFS

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Cloisonnement NFS

n°826323
make insta​ll
Posté le 28-01-2015 à 09:56:27  profilanswer
 

:hello:
 
Bon j'ai hésité avec la sous-cat sécu...
J'ai donc un NAS qui partage sur du NFSv4 derrière un NAT. Jusque là tout allait bien car il n'était pas adressable directement de l'extérieur. Dans quelques temps il va l'être, et par commodité je compte bien rediriger tous les ports externe du NAT vers lui.
 
Je voudrais conserver un accès au NFS dans le réseau local bien sûr et empêcher tout leak vers l'extérieur.
Je peux me contenter de restreindre à mon réseau 192.168.0.0/24 dans /etc/exports (et donc ne pas me soucier d'ip spoofing, mais je suis pas ultra serein à cette idée :o , Rassurez-moi si ce n'est pas fondé) ou bien il y a d'autres astuces firewallesques ? Bien sur le NAS n'a qu'une seule interface qui partage réseau local et extérieur, sinon ce serait trop facile  :)  
 
Ou bien vous allez me dire de juste pas rediriger la plage NFS du NAT vers lui ? :o En écrivant ce post je me rends compte que c'est quand même la meilleure solution, et c'est ce que je vais faire en fait :o Mais par curiosité et pour pas avoir écrit ce pavé pour rien, je pose quand même la question de l'accès restreint lorsque les ports sont ouverts, si un habitué de NFS pouvait me renseigner ce serait bien sympathique :jap:

mood
Publicité
Posté le 28-01-2015 à 09:56:27  profilanswer
 

n°826413
ptibeur
Today you, tomorrow me
Posté le 28-01-2015 à 14:28:21  profilanswer
 

En effet, mettre l'IP de ton NAS en cible "DMZ" dans ton routeur NAT, c'est pas la meilleure idée du siècle :D Mieux vaut rediriger au cas par cas uniquement ce qui t'intéresse, à moins que tu ne veuilles créer un honey pot ou bien que tu aies des soucis avec des ouvertures de port dynamiques.

 

Ça va pas beaucoup t'avancer ton schmilblick sur l'ajustement de config du process NFS, mais dans tous les cas tu peux toujours sécuriser le système avec un iptables qui filtre sur ce qu'il faut en entrée au niveau du port TCP 2049 et va dropper tout ce qu'il n'aime pas avant même que le process NFS ne soit au courant.

 

Au niveau de ton firewall-NAT, si tu as une gestion claire des règles, tu peux explicitement dropper les connexions TCP 2049 du WAN vers le LAN par exemple, en t'assurant que cette règle est bien appliquée même pour les paquets NATés.
Pour tester, depuis l'extérieur tu fais un simple "telnet ip-publique 2049", ça fera une connexion TCP sur le port en question.

Message cité 1 fois
Message édité par ptibeur le 28-01-2015 à 14:28:34

---------------
- And what do we do when we're sad ? - Add to cart ! - No !
n°826416
make insta​ll
Posté le 28-01-2015 à 14:50:41  profilanswer
 

ptibeur a écrit :

En effet, mettre l'IP de ton NAS en cible "DMZ" dans ton routeur NAT, c'est pas la meilleure idée du siècle :D Mieux vaut rediriger au cas par cas uniquement ce qui t'intéresse, à moins que tu ne veuilles créer un honey pot ou bien que tu aies des soucis avec des ouvertures de port dynamiques.  
 
Ça va pas beaucoup t'avancer ton schmilblick sur l'ajustement de config du process NFS, mais dans tous les cas tu peux toujours sécuriser le système avec un iptables qui filtre sur ce qu'il faut en entrée au niveau du port TCP 2049 et va dropper tout ce qu'il n'aime pas avant même que le process NFS ne soit au courant.  
 
Au niveau de ton firewall-NAT, si tu as une gestion claire des règles, tu peux explicitement dropper les connexions TCP 2049 du WAN vers le LAN par exemple, en t'assurant que cette règle est bien appliquée même pour les paquets NATés.  
Pour tester, depuis l'extérieur tu fais un simple "telnet ip-publique 2049", ça fera une connexion TCP sur le port en question.


Mon NAT c'est ma freebox V5  [:794]  
Et c'est pour ça que je veux le mettre en DMZ: ça me pompe de devoir la redémarrer à chaque modification des règles... :o (Et en plus impossible à distance)
Bon disons que comme je l'ai annoncé, c'est pourtant ce que je vais faire : ouvrir au cas par cas puisque c'est le plus pragmatique, même si c'est chiant.
 
Mais on trouve peu de ressources sur le web sur la sécurisation d'un NFS potentiellement ouvert vers l'extérieur, c'est dommage :D

n°826592
ptibeur
Today you, tomorrow me
Posté le 29-01-2015 à 11:22:12  profilanswer
 

Non mais mettre ton NAS en DMZ c'est juste :  
1- de la GROSSE flemme :D  
2- débile d'un point de vue sécurité  
 
Quel est le mieux d'après toi ?  
A - Ouvrir 1 accès et laisser le reste fermé par défaut  
B - Tout ouvrir par défaut et devoir penser à tous les millions de trucs à verrouiller à côté du seul accès que tu veux laisser ouvert  
 
Je connais pas trop la freebox, mais qu'est-ce qui t'empêche de la redémarrer à distance ? Si c'est une question d'IP source de connexion, arrange toi pour faire un tunnel SSH + proxy web et zou, elle aura l'impression que tu es connecté de l'intérieur.  
 
Pose-toi cette question aussi :  
Des ports, tu en ouvres tous les jours des nouveaux ? Jusqu'à maintenant tu as fait sans ouvrir de port, donc je vois pas l'intérêt de laisser tout ouvert par défaut alors que tu changeras ça tout les 10 ans.  
 
Autre méthode moins crado :  
Freebox en mode bridge (ça existe toujours ?) et un vrai routeur/firewall derrière qui permet de modifier la config NAT & firewall sans tout redémarrer.  
 
Tout ce que je trouve avec NFS ouvert sur l'extérieur annonce que c'est un non-sens et qu'il faut tuer l'admin sys en question [:reddie]  

Citation :

If you're assertions are correct (which I find astonishing) then find out who configured the server this way and shoot them before they can do any more harm.

 
http://serverfault.com/questions/2 [...] nfs-secure


---------------
- And what do we do when we're sad ? - Add to cart ! - No !
n°826600
make insta​ll
Posté le 29-01-2015 à 11:48:39  profilanswer
 

On est d'accord, je trouve ça aussi ultra dégueulasse :o
Sur la freebox V5 tu peux pas rebooter, y a juste pas d 'API ni bouton sur une quelconque interface, rien du tout, la seule solution c'est couper le jus :D

 

Allez, je vais pas faire mon flemmard et me limiter à 22/80/443 :o


Message édité par make install le 29-01-2015 à 11:48:53
n°826605
spiderben2​5
Posté le 29-01-2015 à 11:54:20  profilanswer
 

Tu peux pas passer en Cristal ou V6 ?

n°826612
make insta​ll
Posté le 29-01-2015 à 12:15:18  profilanswer
 

Pas l'envie.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Cloisonnement NFS

 

Sujets relatifs
[Resolu]Probleme Nfs avec Synology Ds414jStream d'un mkv 1080p en NFS => Sacade
un client NFS pour windows Seven 64?Partage de fichiers avec NFS sous XP
Point de montage dans export NFS ?client NFS pour windows XP64
Performance NFS, AFS, CIFS etc...Comment connecter un XP ou 2000 sur une Serveur NFS sous linux
Plus de sujets relatifs à : Cloisonnement NFS


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR