Bonjour,
Je loue un serveur dédié DEBIAN 9 qui me sert de serveur de sauvegarde NFS pour mes autres serveurs SYS et des serveurs de mon réseau local.
Dans /etc/exports j'ai :
> /home/sys ip_serv_sys(rw,sync,no_subtree_check,no_root_squash)
> /home/local ip_serv_local(rw,sync,no_subtree_check,no_root_squash)
J'applique les changements avec :
> /etc/init.d/nfs-kernel-server restart
Quand je fais une showmount -e à partir du serveur sys ou du serveur local, je vois bien mes répertoires autorisés. Pourtant la commande
> mount -t nfs ip_serv_nfs:/home/local /media/test
me donne :
> mount.nfs: access denied by server while mounting ip_serv_nfs:/home/local
Aucun souci pour les serveurs sys, tous les serveurs de mon réseau local obtiennent ce message d'erreur alors qu'ils ont strictement le même paramétrage que les serveurs sys. Je ne comprends pas. Il y a quelque chose qui m'échappe ?
Un pare-feu sur la route entre le SYS et les machines locales ?
D'ailleurs, c'est 'safe' NFS à travers l'Internet ?
Bonjour, <br /><br />A mon avis ca vient du firewall qui soit sur le debian n'accepte aps les connexions entrantes soit sur le serveur sys n'accepte pas le flux sortant vers le nfs.<br />Le mieux pour ca c'est de faire un tcpdump sur le serveur nfs et de voir si le flux arrive<br />tcpdump -ni any host ip_serv_sys<br />Si tu ne vois pas de trafic arriver quand tu lances le mount c'est qu'il y a un problème de firewall<br />Sinon il faut voir ce que les logs disent dans /var/log/syslog je pense<br /><br />Et sinon regarde https://www.thegeekdiary.com/mount-nfs-access-denied-by-server-while-mounting-how-to-resolve/#:~:text=Try%20mounting%20the%20problematic%20share,of%20issue%20at%20NFS%20server.&text=If%20specifying%20the%20NFS%20client,cause%20access%20to%20be%20denied. ce lien<br />Il montre quelques points bloquants pour le montage nfs<br /><br />Et en effet, le nfs a travers le web, c'est pas le plus secure, pour faire simple il faut mieux du sshfs ou sftp à mon avis.<br /><br />Bon courage<br />https://www.captainadmin.com
Oui je confirme, le client NFS local est derrière un OPNsense. Ce qui n'est pas le cas des autres clients NFS SYS. Logiquement on est en droit de penser que c'est le firewall OPNsense le problème. Mais dans les log de OPNsense, il n'y a aucun blocage de l'IP_serv_NFS . Et il n'y a aucune règle NAT qui filtre les connexions en sortie du firewall. Du réseau local, l'IP_serv_NFS est parfaitement accessible, que ce soit en ping ou en ssh.
Je ne connais pas la commande tcpdump. Je me renseigne dessus.
Cependant le syslog au niveau du serveur NFS fait ressortir ça :
> rpc.mountd[18892]: refused mount request from ip_serv_local for /home/local(/home/local): illegal port 46173
Je vais creuser de ce côté là.
Ce sont les même version du protocol nfs ?
ou ça peut-être : https://serverfault.com/questions/107546/mount-nfs-access-denied-by-server-while-mounting
Trouvé.
Ca venait bien de OPNsense. Le client NFS étant derrière un NAT.
Le client NFS utilise un port réservé (<1024 … qui ne peut être ouvert que par root -> sécurisé)
OPNsense fait la traduction de port (NAT) -> le port client est maintenant supérieur à 1024
Le serveur NFS refuse la connexion pour ce port non sécurisé.
En mettant l'option insecure dans l'autorisation NFS (/etc/exports) ça résout mon pb d'accès mais pas mon pb de sécurité.
Merci niko, je crois que l'on a trouvé en même temps la solution.
Par contre cette discussion me fait réfléchir sur mes choix techniques peu sécurisés en matière de sauvegarde.
Un sniff, un man-in-the-middle permettent d’intercepter mes datas de backup. Pourquoi j'utilise NFS, car c'est implémenté dans les backups de proxmox. On peut du coup une fois après configuration du client NFS, programmer ses backups et ses restaurations directement dans proxmox.
Vous connaissez une autre solution aussi facilement déployable dans proxmox ?
Sais pas trop pour le remplaçant.
Je me souvenais que NFS même en local… c'est pour ça que j'ai posé la question.