D’habitude, sur le serveur NFS qui me permet de booter en r\u00e9seau mes diff\u00e9rentes stations, je n’activais pas PF : tout le trafic pouvait atteindre la machine en entr\u00e9e.<\/p>\n
Ayant activ\u00e9 l’IPv6 sur toutes mes machines et \u00e9tant donn\u00e9 que la Freebox route tout le trafic IPv6 sur l’interne, je suis dans l’obligation de restreindre les acc\u00e8s en utilisant PF (en IPv4 je n’avais pas ce souci puisqu’elles \u00e9taient derri\u00e8re du NAT).<\/p>\n
Le probl\u00e8me avec NFS c’est que certains ports sont allou\u00e9s de mani\u00e8re statique : nfsd sur le 2049 et le portmapper sur le 111, mais certains autres sont allou\u00e9s dynamiquement : j’utilise bootparam et mountd pour ma part.<\/p>\n
Il me fallait donc une solution pour d\u00e9tecter au d\u00e9marrage de la machine les ports utilis\u00e9s par ces services.<\/p>\n
La solution que j’utilise est relativement simple. On suppose que PF tourne sur la machine avec un fichier pf.conf valide.<\/p>\n
Le principe retenu est d’utiliser une ancre (PF anchor<\/em>) plac\u00e9e dans les r\u00e8gles de filtrage :<\/p>\n Ainsi au d\u00e9marrage de la machine, PF sera d\u00e9marr\u00e9 avec une ancre d’affect\u00e9e, \u00e0 cet instant vide.<\/p>\n Ensuite il reste \u00e0 lancer mon script Perl permettant de d\u00e9couvrir les ports utilis\u00e9s et peupler l’ancre PF \u00e0 l’aide de la commande pfctl<\/em>.<\/p>\n Pour ce faire, j’utilise le script de d\u00e9marrage rc.local<\/em> en ajoutant ceci avant le echo ‘.’<\/em> final :<\/p>\nanchor nfs<\/code><\/p>\n# RPC script
\nif [ -x \/home\/scripts\/rpcports.pl ] ; then
\n\/home\/scripts\/rpcports.pl
\necho -n ' rpcports.pl'
\nfi<\/code><\/p>\n