Salut,

Depuis ce matin, je remarque dans mon fichier "auth.log" ceci :

https://paste.mondedie.fr/?e195189d9d656764#2npyH79z55S1jNgwcuRoBZ7ZwhADcSfTFku+9pJg/0E=

Perso, ça fait des années que j'ai ce pi avec ce même serveur nfs avec en export uniquement mon réseau domestique en 192.168.10.0/24

J'aurais bien voulu que ce rpcbind ne soit en LISTEN que sur le 192.168.10.0/24; mais je ne vois pas ou ceci peut bien se modifier.
netstat:

tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      371/rpcbind

exports:

/home/nfs 192.168.10.0/24(rw,sync,no_subtree_check,all_squash,nohide)

Une idée ???
Bon week end ...

Salut,

S'il ne doit communiquer qu'en local alors enlève la redirection de port sur ta box.

    Salimeche

    Je n'ai pas de redirection pour ce port dans ma box; par contre ce rpi est dans la DMZ de la box, ce qui explique ceci...

    Dommage que ce rpcbind ne dispose pas d'une option pour modifier son LISTEN; car c'est ce que je fais pour la majorité de mes applications ne nécessitant pas une écoute sur le 0.0.0.0; a moins que j'ai zappé un truc dans la config de mon serveur NFS.???

      Rien d'anormal en faite, c'est juste ton RPI qui écoute sur 0.0.0.0, donc aucun soucis.

        xataz

        xataz: c'est juste ton RPI qui écoute sur 0.0.0.0

        Pas tout à fait !!! c'est l'application qui écoute, non ???

        J'ai un serveur chez ovh sans nfs-server bien sur, et là pas de rpcbind en écoute...donc ce rpcbind est en fait pour le serveur NFS uniquement dans mon cas sur cette RPI...

        Sinon, j'ai d'autres ports sur cette RPI (web, ssh,..) qui sont en écoute sur le 0.0.0.0; mais là c'est normal, et sous contrôle de fail2ban.

        Je trouve seulement dommage (à moins que je n'ai pas trouvé ou celà se configure!!!), que sur toute application réseau on ne puisse pas modifier le LISTEN, surtout dans le cas du NFS dont l'usage dans la majorité des cas se limite au réseau local..donc je ne vois pas l'utilité d'écouter sur le 0.0.0.0 pour ce type d'usage d'application.

          Oui c'est nfs qui écoute, mais c'est normal.
          Cela ne veux pas dire que ton RPI écoute sur l'exterieur, il écoute tout le réseau sur lequel il est.

          Si NFS écoute 0.0.0.0 et non 192.168.10.0, c'est juste parce que si tu le souhaites, tu pourrais configurer plusieurs réseaux dessus exemple :

          /home/nfs 192.168.10.0/24(rw,sync,no_subtree_check,all_squash,nohide)
/home/nfs2 10.0.0.0/8(rw,sync,no_subtree_check,all_squash,nohide)
/home/nfs3 172.16.0.0/16(rw,sync,no_subtree_check,all_squash,nohide)

          Le RPI est en DMZ donc tous les ports sont accessibles de l'extérieur via l'IP publique de ta box.
          Même si le RPI n'écoute que sur son adresse privée, toutes les requêtes lui sont retransmises par ta box.

          Si tu veux empêcher cela tu as deux solutions :
          - Enlever ton RPI de la DMZ et ne rediriger que les ports dont tu as besoin qu'ils soient accessibles depuis l'extérieur
          -Laisser ton RPI en DMZ et n'autoriser que ton réseau à communiquer sur ce port (via iptables par exemple)

            Salimeche
            xataz
            Salut,

            Merci à vous deux.

            @Salimeche : La sortie du DMZ avec la redirection des ports nécessaires dans la box ou laisser dans la DMZ avec des règles iptables appropriées; je connaissais ces méthodes.

            Sans doute que je me suis mal exprimé, car le but de ce post était de trouver une solution par config du rpcbind pour l'obliger à écouter en tcp et udp sur mon réseau local uniquement; ce que je fais généralement avec beaucoup d'applications qui n'ont pas besoin d'un accès réseau externe, exemples:

            -webmin -> 127.0.0.1:10000 -> reverse proxy de nginx
            -Transmission daemon -> 127.0.0.1:9091 -> reverse proxy de nginx
            ...

            On modifie le LISTEN de l'application, et le tour est joué, avec pour avantage de diminuer le nombre de ports en écoute vers l'extérieur; avantage plus facile à contrôler via fail2ban....

            Dans le cas de ce topic, je voulais juste faire écouter ce rpcbind sur le 192.168.xx.xx

            @xataz merci pour le lien; mais j'avais déjà regardé le man de rpcbind:


            https://linux.die.net/man/8/rpcbind

            Et visiblement en lisant le blog de ton lien en diagonale je vois que l'on parle aussi de cette option -h...

            Avec cette option -h que l'on peut rajouter dans les options en créant un fichier "/etc/default/rpcbind"; mais hélàs quand je vois ceci:

            the -h switch is only for udp ....rpcbind will automatically add 127.0.0.1 and if IPv6 is enabled, ::1 to the list.

            ???..le rpcbind en tcp pas règlé, et je n'ai pas d'ipv6 au domicile...

            Encore merci...je vais tout simplement la sortir de la DMZ, et rediriger les ports de la box.

            Bon dimanche...

                Répondre…