Discussion :

[troumad]

Bonsoir

Je modifie mon réseau en mettant un routeur entre mon serveur et mes PC. Le problème est que je ne peux plus accèder aux partages nfs du serveur.

Schéma du réseau :

Monde --FAI--modem-Mon-réseau

Mon-réseau = serveur-[réseau en 192.168.2.X]-routeur-[réseau en 192.168.1.X]

Si je cherche un partage nfs du réseau en 192.168.1.X sur mon serveur (en 192.168.2.X), les log donnent :

Jul 1 17:55:22 serveur rpc.mountd: refused mount request from 192.168.2.10 for /maison (/maison): illegal port 62865

Le problème est que 192.168.2.10 est l'adresse du routeur et le port 62865 je ne comprends pas ce que c'est
Comment faire ?

[Katyucha]

Troumad,

Je pense que ca peut venir de la configuration de ton routeur.
Il me semble que les routeurs doivent accepter de laisser passer les requetes RARP pour le nfs mais je suis loin d'etre un expert réseau... (très très très très loin)

Sinon, ca peut etre un problème de NAT.

Katyucha, pas sur de lui sur ce coup

[le mage tophinus]

Un truc tout bête, tu as vérifié tes fichiers /etc/hosts.allow et /etc/hosts.deny ??? ça m'est déjà arrivé alors on ne sait jamais

[troumad]

Une recherche google avec RARP nfs et routeur n'explique rien.
Mes fichiers hosts.allow ou hosts.deny sont vides. Mais je ne m'en suis jamais servi car je ne sais pas trop à quoi ils servent, peux-tu me le dire Mage Tophinus ?

[le mage tophinus]

Les fichiers /etc/hosts.allow et /etc/hosts.deny sont des fichiers pour autoriser ou refuser l'accès à certains "services réseaux" (comme nfs ou portmap) pour des machines spécifiques.
Voilà une adresse pour y regarder de plus près :
http://www.lea-linux.org/reseau/partfic/nfs.html

Sinon, pour simplifier, je te conseille de mettre tes fichiers comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
#/etc/hosts.allow
ALL:192.168.1.
 
#/etc/hosts.deny
ALL:ALL

Sinon, c'est quoi l'adresse IP de ton serveur NFS ??? Quelle est ta ligne de commande avec mount ???
En supposant que l'adresse IP de ton serveur NFS soit 192.168.2.1, tu devrais avoir quelque chose comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
mount -t nfs 192.168.2.1:/repertoire_de_partage /point_de_montage_sur_le _client

Maintenant, comme le dit Katyucha, est-ce que tu as activé du NAT sur ton routeur ? Dans ce cas là, le problème ne vient pas de nfs bien certainement bien de ta configuration pour le NAT...

[troumad]

Les fichiers /etc/hosts.allow et /etc/hosts.deny sont des fichiers pour autoriser ou refuser l'accès à certains "services réseaux" (comme nfs ou portmap) pour des machines spécifiques.
Voilà une adresse pour y regarder de plus près :
http://www.lea-linux.org/reseau/partfic/nfs.html

Sinon, pour simplifier, je te conseille de mettre tes fichiers comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
#/etc/hosts.allow
ALL:192.168.1.
 
#/etc/hosts.deny
ALL:ALL

Merci. Je prends note (dans la section à ranger de mon cours)

Sinon, c'est quoi l'adresse IP de ton serveur NFS ??? Quelle est ta ligne de commande avec mount ???

adresse ip : 192.168.2.1
ligne de fstab : 192.168.2.1:/maison /maison nfs user,noauto,retry=100,defaults 0 0

En supposant que l'adresse IP de ton serveur NFS soit 192.168.2.1, tu devrais avoir quelque chose comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
mount -t nfs 192.168.2.1:/repertoire_de_partage /point_de_montage_sur_le _client

donne à partir de 192.168.1.X :
5.255 LEN=155 TOS=0x00 PREC=0x00 TTL=64 ID=23415 PROTO=UDP SPT=631 DPT=631 LEN=135
Jul 3 11:03:44 netjuke rpc.mountd: refused mount request from 192.168.2.10 for /maison (/maison): illegal port 61781

Maintenant, comme le dit Katyucha, est-ce que tu as activé du NAT sur ton routeur ? Dans ce cas là, le problème ne vient pas de nfs bien certainement bien de ta configuration pour le NAT...

J'ai cherché sur la doc de mon routeur et je n'ai rien trouvé d'explicite, c'est un Dl-624+ de D-Link
Voici la ligne de /etc/export :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/maison 192.168.2.10(rw,sync,no_root_squash)

[le mage tophinus]

Tu as remarqué dans ton premier post :

Jul 1 17:55:22 serveur rpc.mountd: refused mount request from 192.168.2.10 for /maison (/maison): illegal port 62865

et dans ton dernier post :

Jul 3 11:03:44 netjuke rpc.mountd: refused mount request from 192.168.2.10 for /maison (/maison): illegal port 61781

Les ports ne sont pas les mêmes. C'est normal car certains services voient leur port fixé dynamiquement mais il y a moyen de les fixer statiquement (je me souviens plus comment). Mais ces deux lignes me confortent dans l'idée que ton problème vient sûrement du firewall. Il faudrait scanner les ports pour en être un peu plus sûr et regarder si tu peux l'iptables de plus près (genre tu te telnet sur le routeur et puis tu tapes iptables -L -v -n).

Là malheureusement, je ne peux pas faire plus pour toi (du moins pour l'instant). Essaye de voir les solutions que je te propose pour vérifier que tes ports soient bien ouverts. A la rigueur, fait tomber temporairement tous tes firewalls pour vérifier que le problème vient bien de là.

Sinon, j'ai une question bête mais pourquoi faire un réseau en 192.168.2.x quand tu as déjà un réseau en 192.168.1.x à moins que ton masque réseau soit en 255.255.254.0 ....?

[Katyucha]

Le portmap est bien lancé sur le serveur?

[troumad]

:

[troumad]

[troumad]

Les ports ne sont pas les mêmes. [...]. Il faudrait scanner les ports pour en être un peu plus sûr et regarder si tu peux l'iptables de plus près (genre tu te telnet sur le routeur et puis tu tapes iptables -L -v -n).

Je sais qu'à prioris, les ports pour le nfs ne sont pas fixés, mais il est possible de les fixés, c'est ce que j'ai fait (c'est expliqué dans mon cours). Les ports étaient les bons avant le changement de configuration du réseau.

Sinon, j'ai une question bête mais pourquoi faire un réseau en 192.168.2.x quand tu as déjà un réseau en 192.168.1.x à moins que ton masque réseau soit en 255.255.254.0 ....?

Je n'allais tout de même pas prendre la même config des deux côtés du routeur ?

Le portmap est bien lancé sur le serveur?

Il est lancé.

[le mage tophinus]

Et est-ce que tu as essayé sans les firewalls pour être sûr que le problème ne viennent pas de là justement ???

Je n'allais tout de même pas prendre la même config des deux côtés du routeur ?

Je ne vois pas ce qui t'en empêche. Moi j'ai mon modem-routeur en 192.168.0.1, un routeur en 192.168.0.2 et mes autres bécanes en 192.168.0.x. Je ne vois pas en quoi le fait de garder une même "classe" IP de chaque côté du routeur pose problème ??? Tu peux très bien utilisé ton routeur en tant que switch et serveur DHCP comme je le fais pour celui que j'ai en 192.168.0.2.

[troumad]

Avec la config que tu donnes les PC derière le routeur sont visibles du serveur ?
Ceci dit, du côté serveur, j'ai un masque en 255.255.0.0. Peut-être qu'en faisant pareil sur les PC de travail => impossible : le PC pert internet

[le mage tophinus]

Avec la config que tu donnes les PC derière le routeur sont visibles du serveur ?

J'arrive à aller partout, le truc c'est de bien configurer au niveau du modem le firewall (entre-autres le NAT)

Ceci dit, du côté serveur, j'ai un masque en 255.255.0.0. Peut-être qu'en faisant pareil sur les PC de travail => impossible : le PC pert internet Sad

Normalement (si je ne dis pas de bétises), en mettant comme passerelle l'adresse IP du modem s'il est routeur ou du serveur s'il ne l'est pas; de bien autoriser le forward des pacquets pour qu'il puisse traverser le réseau et avec un masque de sous-reéseau en 255.255.255.0, ça doit marcher. Le plus dur étant bien sûr le maniement d'iptables. Maintenant, si c'est ton serveur que tu viens de réinstaller en mandriva, y'a le partage de connexion internet dans Drakconf si je me souviens bien ....

Argh, elle est pas compliquée ton install

[troumad]

Mon serveur est sous mdk 10.1 et y restera tant que ça tournera. Je ne compte pas le réinstaller. C'est mon portable que j'ai réinstallé.
Le routeur n'a pas d'Iptable, c'est juste une boite avec du wifi (côté LAN), une entrée WAN et 4 LAN (j'aurais aimé en avoir 5, mais je me débrouillerais avec 4).
En plus mon routeur je le voyais comme une protection entre le serveur et les PC. Ceci ne semble pas le cas de ton système car tes PC sont visible du serveur. J'ai un peu limité les dégats en faisant du partage SAMBA car l'autre problème que j'entrevois c'est que le serveur ne pourra pas faire la distinction entre les PC dernière le routeur et que donc tous auront les mêmes droits

[le mage tophinus]

Arf, je commence à comprendre enfin ta config .... Ouf .... C'est pour ça que tes adresses IP en 192.168.1.x et 192.168.2.x se voient, tes masques de sous-réseau sont en 255.255.0.0. Evidemment, en passant en masque de sous-réseau de classe C (255.255.255.0), ils ne peuvent pas se voir, sauf s'ils commencent TOUS par la même adresse IP 192.168.1.x.
Si ton routeur n'a pas de firewall, il n'est aucunement une protection entre les PCs et le serveur, il fait juste office de switch comme chez moi.

Ceci ne semble pas le cas de ton système car tes PC sont visible du serveur

ça veut dire que chez toi, ton serveur ne peut pas voir les PCs ??? Je comprend pas là ??? Tu parles de "voir" dans quel sens ???

Ton modem n'est pas un modem routeur je suppose donc pourquoi ne pas le connecté sur le port WAN de ton routeur ? A moins que ce ne soit un modem USB ???

T'as fait comment pour ton partage de connexion internet ? T'as utilisé Drakconf ?

T'es sûr que ton routeur n'as pas de firewall ??? Parce que s'il a un port WAN, il risque fort d'avoir un firewall intégré sauf si tu as une configuration où il n'est pas actif...

[troumad]

Si ton routeur n'a pas de firewall, il n'est aucunement une protection entre les PCs et le serveur, il fait juste office de switch comme chez moi.

il en a un que je n'ai pas encore vraimant configuré, mais il est actif pour le partage de connexion et un transfert de ssh du serveur vers un PC client pour pouvoir tout de même intervenir de l'extérieur sur mon réseau. Pour le moment le serveur ne voit que le routeur, un appel du serveur vers les Ip de mes PC n'abouti pas car l'appel ne passe pas le routeur. C'est une première protection.

ça veut dire que chez toi, ton serveur ne peut pas voir les PCs ??? Je comprend pas là ??? Tu parles de "voir" dans quel sens ???

Ce que je viens de dire précédement.

Ton modem n'est pas un modem routeur je suppose donc pourquoi ne pas le connecté sur le port WAN de ton routeur ? A moins que ce ne soit un modem USB ???

Ma config : Internet/monde/FAI<-->modem internet (non usb)<-->serveur (chez moi)<-->routeur<-->PC domestiques
Certes c'est inhabituel, mais volontaire : un routeur au milieu de mon installation, mais je croyais l'avoir signalé dans mon premier courrier :

Je modifie mon réseau en mettant un routeur entre mon serveur et mes PC

T'as fait comment pour ton partage de connexion internet ? T'as utilisé Drakconf ?

Iptable directement

[le mage tophinus]

il en a un que je n'ai pas encore vraimant configuré, mais il est actif pour le partage de connexion et un transfert de ssh du serveur vers un PC client pour pouvoir tout de même intervenir de l'extérieur sur mon réseau. Pour le moment le serveur ne voit que le routeur, un appel du serveur vers les Ip de mes PC n'abouti pas car l'appel ne passe pas le routeur. C'est une première protection.

donc voilà ton problème, il faut qu'il laisse aussi passer d'autres ports pour le serveur NFS. Normalement, si je me souviens bien, tu peux faire sur un PC un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
rpcinfo -p adresse_ip_du_serveur
# ou si tu preferes
rpcinfo -p 192.168.2.1

Là tu devrais voir tous les protocoles sur le serveur avec les ports utlisés, sinon y'a aussi le fichier /etc/services qui donnent tous les ports fixés selon l'application utilisée.

Ma config : Internet/monde/FAI<-->modem internet (non usb)<-->serveur (chez moi)<-->routeur<-->PC domestiques
Certes c'est inhabituel, mais volontaire : un routeur au milieu de mon installation, mais je croyais l'avoir signalé dans mon premier courrier :

J'avais compris ton installation mais elle me semble bien compliquée, surtout que ton serveur doit être allumé si tu veux accéder à internet mais à chacun ses choix

Iptable directement

chapeau bas , c'est pas donné à tout le monde

[troumad]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
rpcinfo -p adresse_ip_du_serveur
# ou si tu preferes
rpcinfo -p 192.168.2.1

Là tu devrais voir tous les protocoles sur le serveur avec les ports utlisés, sinon y'a aussi le fichier /etc/services qui donnent tous les ports fixés selon l'application utilisée.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
# rpcinfo -p 192.168.2.1
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    391002    2   tcp  52508  sgi_fam
    100024    1   udp   4000  status
    100024    1   tcp   4000  status
    100011    1   udp   4003  rquotad
    100011    2   udp   4003  rquotad
    100011    1   tcp   4003  rquotad
    100011    2   tcp   4003  rquotad
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100021    1   udp  34487  nlockmgr
    100021    3   udp  34487  nlockmgr
    100021    4   udp  34487  nlockmgr
    100021    1   tcp  36252  nlockmgr
    100021    3   tcp  36252  nlockmgr
    100021    4   tcp  36252  nlockmgr
    100005    1   udp   4002  mountd
    100005    1   tcp   4002  mountd
    100005    2   udp   4002  mountd
    100005    2   tcp   4002  mountd
    100005    3   udp   4002  mountd
    100005    3   tcp   4002  mountd

Alors que les ports 36252, 34487 et 52508 sont sencés être fermés

chapeau bas , c'est pas donné à tout le monde

J'y ai passé un peu de temps car on m'a dit que ça vallait la peine. Tu peux voir ce que j'ai fait sur http://troumad.free.fr/Linux/Linux.odt (OOo 2)

[le mage tophinus]

Alors que les ports 36252, 34487 et 52508 sont sencés être fermés Sad

Attention, ça ne veut pas dire que les ports sont ouverts, ça veut simplement dire que ce sont les ports utilisés pour ces protocoles. Maintenant, s'ils sont fermés, ça veut dire que les protocoles sont inutilisables. Pour nlockmgr, c'est pas trop grave, tu rajoutes "-o nolock" dans ton mount et normalement ça devrait passer, par contre, sgi_fam je sais pas du tout ce que c'est....

Tu es sûr de n'avoir pas d'autres ports fermés ??? car normalement, ça devrait marcher .... Tu peux aussi essayé ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
rpcinfo -t 192.198.2.1 portmapper

où -t veut dire tcp (tu peux remplacer par -u pour l'udp), Il faut passer tous les noms des protocoles donnés précédemment par "rpcinfo -p 192.168.2.1". Avec un peu de chance, tu verras peut-être ce qui bloque (en tout cas, c'est comme ça que j'ai trouvé mes problèmes les dernières fois).