Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » Red Hat » RH13400 - Préparation à la Certification RH134 » RH13408 - Gestion du Stockage en Réseau

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
elearning:workbooks:redhat:rh134:l107 [2024/10/21 15:23] adminelearning:workbooks:redhat:rh134:l107 [2024/11/21 15:28] (Version actuelle) admin
Ligne 1: Ligne 1:
 ~~PDF:LANDSCAPE~~ ~~PDF:LANDSCAPE~~
- 
-Version : **2024.01** 
  
 Dernière mise-à-jour : ~~LASTMOD~~ Dernière mise-à-jour : ~~LASTMOD~~
  
-======LRF606 - Gestion de Netfilter et de Firewalld======+======RH13408 - Gestion du Stockage en Réseau======
  
 =====Contenu du Module===== =====Contenu du Module=====
  
-  * **LRF606 - Gestion de Netfilter et de Firewalld**+  * **RH13408 - Gestion du Stockage en Réseau**
     * Contenu du Module     * Contenu du Module
-    * Les Problématiques +    * Présentation du Network File System (NFS) 
-      * L'IP Spoofing +      * NFSv3 
-      Déni de Service (DoS) +        * Les Services et Processus Principaux du Serveur NFSv3 
-      * SYN Flooding +        * Options d'un Partage NFSv3 
-      Flood +        Commandes de Base de NFSv3 
-    * Le Contre-Mesure +      * NFSv4 
-      * Le Pare-feu Netfilter/iptables +        Différences entre NFSv4 et NFSv3 
-      * LAB #La Configuration par firewalld +    * LAB #1 Configuration du Serveur NFSv4 
-        La Configuration de Base de firewalld +      * 1.1 Désactivation de NFSv3 
-        * La Commande firewall-cmd +      * 1.2 - Définition d'un Partage 
-        * La Configuration Avancée de firewalld +    * LAB #- Configuration du Client 
-        * Le mode Panic de firewalld+      2.1 - Montage Éphémère 
 +      * 2.2 - Montage Persistant 
 +    * LAB #3 - Configuration de NFSv4 avec Automounter 
 +      * Présentation 
 +      * Le Service autofs 
 +      * 3.1 - Création d'un Fichier de Mappage Indirect 
 +        * Configuration du Serveur 
 +        * Configuration du Client 
 +      * 3.2 - Création d'un Fichier de Mappage Indirect 
 +        * Configuration du Serveur 
 +        * Configuration du Client
  
-=====Les Problématiques=====+=====Présentation du Network File System (NFS)=====
  
-====L'IP Spoofing====+Le Network File System (NFS) est un protocole Internet standard que Linux, UNIX et d'autres systèmes d'exploitation similaires utilisent comme système de fichiers réseau natif. NFS est une norme ouverte qui prend en charge 
 +les permissions Linux natives et les attributs du système de fichiers.
  
-L'IP Spoofing consiste en faire croire à un serveur que sa machine possède une adresse IP autre que celle réellement attribuéeLe but de cette opération est de se placer en tant que point de passage obligatoire des paquets envoyés entre le serveur et le vrai //propriétaire// de l'adresse IP spooféeLe mécanisme est la suivante :+Par défaut, Red Hat 9 utilise la version 4.de NFS. RHEL prend entièrement en charge les protocoles NFSv3 et NFSv4. NFSv3 peut utiliser un protocole de transport TCP ou UDP, mais NFSv4 n'autorise que les connexions TCP.
  
-  * L'attaquant change son adresse IP en prenant une à laquelle le serveur cible fera confiance, +Les serveurs NFS exportent des répertoiresLes clients NFS montent les répertoires exportés dans un répertoire local existant. Les clients NFS peuvent monter les répertoires exportés de plusieurs manières :
-  * L'attaquant envoie une requête au serveur en stipulant une route de communication qui passe par l'adresse IP réelle de l'attaquant, +
-  * L'attaquant reprend son adresse IP réelle, +
-  * Le serveur accepte la requête car elle provient d'une adresse IP à laquelle il peux faire confiance et renvoie une réponse en utilisant la route spécifiée par l'attaquant, +
-  * Le client utilise la route spécifiée par l'attaquant pour répondre au serveur.+
  
-====Déni de Service (DoS)====+  * Manuellement en utilisant la commande mount, 
 +  * De manière persistante au démarrage en configurant des entrées dans le fichier /etc/fstab, 
 +  * À la demande, en configurant une méthode de d'Automount.
  
-Une attaque de déni de service consiste à rendre inopérable une machine en lui envoyant une grande quantité de données inutiles. Un exemple de ce type d'attaque s'appelle un //ping flood// :+Les méthodes d'Automount, comprennent :
  
-  * L'attaquant prend l'adresse IP de sa cible+  * le service autofs
-  * Il envoie ensuite un ping à une machine de diffusion, +  * systemd.automount.
-  * La machine de diffusion envoie ce même ping à un grand nombre de clients en spécifiant l'origine de la requête, +
-  * L'attaquant reprend son adresse IP d'origine, +
-  * Tous les clients renvoie une réponse au ping //en même temps// à la cible.+
  
-====SYN Flooding====+Il convient d'installer le paquet **nfs-utils** afin d'obtenir les outils clients pour le montage manuel, ou pour le montage automatique, des répertoires exportés.
  
-Le **SYN Flooding**, aussi appelé un //SYN-ACK Attack//, consiste à envoyer vers une cible de multiples paquets **SYN** très rapidement. La cible répond à chaque paquet reçu avec un paquet **ACK** et attend une réponse **ACK** de l'attaquantA ce stade pour chaque ACK renvoyé par la cible, une connexion dite //semi-ouverte// existe entre les deux machines. La cible doit réserver une petite partie de sa mémoire pour chaque connexion semi-ouverte jusqu'au //time-out// de la dite semi-connexion. Si l'attaquant envoie très rapidement des paquets SYN, le système de time-out n'a pas la possibilité d'expirer les semi-connexions précédentes. Dans ce cas la mémoire de la cible se remplit et on obtient un //buffer overflow//.+Red Hat 9 prend également en charge le montage de répertoires partagés à partir de systèmes Microsoft Windows(R) en utilisant les mêmes méthodes que pour le protocole NFS, en utilisant les protocoles **Server Message Block** (SMB) ou 
 +**Common Internet File System** (CIFS)Les options de montage sont spécifiques au protocole et dépendent de la configuration du Windows ou du Samba.
  
-====Flood====+====NFSv3====
  
-Le **Flood** consiste à envoyer très rapidement des gros paquets **ICMP** vers la cible.+Le protocole NFS a changé de manière significative entre NFSv3 et NFSv4. La méthode d'interrogation pour afficher les exportations disponibles est différente pour chaque version du protocole. NFSv3 utilise le protocole RPC, qui nécessite un serveur de fichiers prenant en charge les connexions NFSv3 pour exécuter le service rpcbind. Un client NFSv3 se connecte au service rpcbind sur le port 111 du serveur pour demander le service NFS. Le serveur répond en indiquant le port actuel du service NFS. La commande **showmount** est utilisée pour interroger les exportations disponibles sur un serveur NFSv3 basé sur RPC.
  
-=====Le Contre-Mesure=====+===Les Services et Processus Principaux du Serveur NFSv3===
  
-Le contre-mesure est principalement l'utilisation d'un pare-feu.+La version NFSv3 utilise les services suivants :
  
-====Le Pare-feu Netfilter/iptables=====+^ Services ^ Fonction ^ 
 +| **nfsd** | Démarre le service NFS ainsi que les processus RPC pour recevoir et traiter les demandes des clients | 
 +| **nfslock** | Démarre les processus RPC qui permettent aux clients de verrouiller les fichiers sur le serveur 
 +| **portmap** | Gestion des réservations des ports pour les services RPC locaux afin que les services RPC distants puissent se connecter |
  
-**Netfilter** est composé de 5 //hooks// :+===Options d'un Partage NFSv3===
  
-  * NF_IP_PRE_ROUTING +Certaines options, appliquées à un partage, modifient le comportement du serveur NFSv3 pour le partage concerné lors de son démarrage :
-  * NF_IP_LOCAL_IN +
-  * NF_IP_LOCAL_OUT +
-  * NF_IP_FORWARD +
-  * NF_IP_POSTROUTING+
  
-Ces hooks sont utilisés par deux branches, la première est celle concernée par les paquets qui entrent vers des services locaux :+^ Option ^ Comportement ^ 
 +| **ro** | Accès en lecture seule | 
 +| **rw** | Accès en lecture / écriture | 
 +| **sync** | Ecriture synchrone ( écriture immédiate sur disque ) | 
 +| **async** | Ecriture asynchrone ( écriture sur disque en utilisant une cache ) | 
 +| **root_squash** | Root perd ses prérogatives sur le partage concerné | 
 +| **no_root_squash** | Root garde ses prérogatives sur le partage concerné | 
 +| **no_lock** | Pas de verrous sur les fichiers accédés | 
 +| **all_squash** | Force la mapping de tous les utilisateurs vers l'utilisateur **nobody** | 
 +| **anonuid** | Fixe l'UID de l'utilisateur anonyme | 
 +| **anongid** | Fixe le GID de l'utilisateur anonyme |
  
-  * NF_IP_PRE_ROUTING NF_IP_LOCAL_IN > NF_IP_LOCAL_OUT NF_IP_POSTROUTING+<WRAP center round important> 
 +**Important** : Si plusieurs options sont spécifiées, celles-ci doivent être séparées par des virgules. 
 +</WRAP>
  
-tandis que la deuxième concerne les paquets qui traversent la passerelle:+===Commandes de Base de NFSv3===
  
-  * NF_IP_PRE_ROUTING > NF_IP_FORWARD > NF_IP_POSTROUTING+Plusieurs commandes permettent de gérer et de s'informer sur l'activité du serveur NFSv3 :
  
-Si IPTABLES a été compilé en tant que module, son utilisation nécessite le chargement de plusieurs modules supplémentaires en fonction de la situation:+^ Commande ^ Comportement ^ 
 +| **exportfs** | Affiche les partages actifs sur le serveur courant | 
 +| **nfsstat** | Affiche les statistiques de l'activité NFS | 
 +| **rpcinfo** | Affiche les démons gérés en effectuant une requête RPC sur le serveur courant | 
 +| **showmount** | Affiche les partages actifs sur un serveur distant | 
 +| **mount** | Permet de monter un partage distant sur un répertoire local |
  
-  * iptable_filter +====NFSv4====
-  * iptable_mangle +
-  * iptable_net +
-  * etc+
  
-Netfilter est organisé en **tables**. La commande **iptables** de netfilter permet d'insérer des **policies** dans les **chaines**:+===Différences entre NFSv4 et NFSv3====
  
-  * La table **FILTER** +Le protocole NFSv4 a éliminé l'utilisation de l'ancien protocole RPC pour les transactions NFS. L'utilisation de la commande showmount sur un serveur qui ne prend en charge que NFSv4 s'interrompt sans recevoir de réponse car le service rpcbind n'est pas exécuté sur le serveurCependantl'interrogation d'un serveur NFSv4 est plus simple que d'interroger un serveur NFSv3.
-    * La chaîne INPUT +
-      * Concerne les paquets entrants +
-        * Policies: ACCEPT, DROP, REJECT +
-    * La chaîne OUTPUT +
-      * Concerne les paquets sortants +
-        * Policies: ACCEPT, DROP, REJECT +
-    * La chaîne FORWARD +
-      * Concerne les paquets traversant le par-feu. +
-        * Policies: ACCEPTDROP, REJECT+
  
-Si aucune table n'est préciséec'est la table FILTER qui s'applique par défaut.+NFSv4 a introduit une arborescence d'exportation qui contient tous les chemins d'accès aux répertoires exportés par le serveur. Pour afficher tous les répertoires exportésil convient de monter la racine (/) de l'arborescence d'exportation du serveur. Le montage de la racine de l'arborescence d'exportation permet de parcourir les chemins d'accès de tous les répertoires exportés, en tant qu'enfants du répertoire racine de l'arborescence mais ne monte aucun des répertoires exportés.
  
-  * La table **NAT** +Le format de cette commande est le suivant :
-    * La chaîne PREROUTING +
-      * Permet de faire la translation d'adresse de destination +
-        * CiblesSNAT, DNAT, MASQUERADE +
-    * La chaîne POSTROUTING +
-      * Permet de faire la translation d'adresse de la source +
-        * Cibles: SNAT, DNAT, MASQUERADE +
-    * Le cas spécifique OUTPUT +
-      * Permet la modification de la destination des paquets générés localement+
  
-  * La table **MANGLE** +<code> 
-    * Permet le marquage de paquets générés localement (OUTPUT) et entrants (PREROUTING)+# mkdir /mountpoint
  
-Les **policies** sont:+# mount -t nfs -o rw,sync server:/export /mountpoint 
 +</code>
  
-  * ACCEPT +<WRAP center round important 60%> 
-    Permet d'accepter le paquet concerné +**Important** : L'option **-o sync** spécifie que toutes les transactions vers le système de fichiers exporté sont effectuées de manière synchrone, ce qui est fortement recommandée pour tous les montages réseau de production où les transactions doivent réussir sous peine d'être renvoyées en cas d'échec. Notez que seul, root, peut procéder aux montages. 
-  DROP +</WRAP>
-    Permet de rejeter le paquet concerné sans générer un message d'erreur +
-  * REJECT +
-    * Permet de rejeter le paquet concerné en générant une message d'erreur+
  
-Les **cibles** sont:+Pour monter une exportation NFSv4 tout en parcourant l'arborescence de l'exportation montée, il convient de changer de répertoire pour prendre un chemin d'accès au répertoire exporté. Il est aussi possible utiliser la commande mount avec le nom complet du chemin d'accès d'un répertoire exporté pour monter un seul répertoire exporté. 
  
-  * SNAT +A noter que, les répertoires exportés qui utilisent la sécurité Kerberos n'autorisent pas le montage ou l'accès à un répertoire lorsque vous parcourez une arborescence d'exportation, même si vous pouvez voir le chemin d'accès à l'exportation. Le montage de partages protégés par Kerberos nécessite une configuration supplémentaire du serveur et l'utilisation des informations d'identification de l'utilisateur Kerberos. Ce cas, ne fait pas partie de la certification RH134 mais est couvert dans la formation **RH362 - Red Hat Security: Identity Management and Active Directory Integration**.
-    * Permet de modifier l'adresse source du paquet concerné +
-  * DNAT +
-    * Permet de modifier l'adresse de destination du paquet concerné +
-  * MASQUERADE +
-    * Permet de remplacer l'adresse IP privée de l'expéditeur par un socket public de la passerelle.+
  
-IPTABLES peut être configuré soit par des outils tels shorewall, soit en utilisant des lignes de commandes ou un script. Dans ce dernier cas, la ligne prend la forme:+=====LAB #1 - Configuration du Serveur NFSv4=====
  
-  # IPTABLES --action CHAINE --option1 --option2+Vérifiez l'état des machines virtuelles :
  
-Les actions sont:+<code> 
 +[root@redhat9 ~]# virsh list --all 
 + Id   Name      State 
 +------------------------- 
 +    testvm1   running 
 +    testvm2   running 
 +</code>
  
-^  Action  ^  Abréviation  ^  Déscription +Connectez-vous à machine virtuelle **testvm2** et activez et démarrez le service **nfs-server** :
--append |  -A  | Ajouter une règle à la fin de la chaîne spécifiée |  +
-| - -delete |  -D  | Supprimer une règle en spécifiant son numéro ou la règle à supprimer |  +
-| - -replace |  -R  | Permet de remplacer la règle spécifée par son numéro |  +
-| - -insert |  -I  | Permet d'insérer une règle à l'endroit spécifié |  +
-| - -list |  -L  | Permet d'afficher des règles | +
-| - -flush |  -F  | Permet de vider toutes les règles d'une chaîne |  +
  
-Les options sont:+<code> 
 +[root@redhat9 ~]# virsh console testvm2 
 +Connected to domain 'testvm2' 
 +Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm2 ~]# systemctl enable --now nfs-server 
 +Created symlink /etc/systemd/system/multi-user.target.wants/nfs-server.service → /usr/lib/systemd/system/nfs-server.service. 
 +[root@testvm2 ~]# systemctl status nfs-server 
 +● nfs-server.service - NFS server and services 
 +     Loadedloaded (/usr/lib/systemd/system/nfs-server.service; enabled; prese> 
 +     Active: active (exited) since Mon 2024-10-28 12:08:12 CET; 3s ago 
 +       Docs: man:rpc.nfsd(8) 
 +             man:exportfs(8) 
 +    Process: 5309 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUC> 
 +    Process: 5310 ExecStart=/usr/sbin/rpc.nfsd (code=exited, status=0/SUCCESS) 
 +    Process: 5329 ExecStart=/bin/sh -c if systemctl -q is-active gssproxy; then> 
 +   Main PID: 5329 (code=exited, status=0/SUCCESS) 
 +        CPU: 31ms
  
-^  Option  ^  Abréviation  ^  Déscription  ^ +Oct 28 12:08:12 testvm2.ittraining.loc systemd[1]: Starting NFS server and serv> 
-| - -protocol |  -p  | Permet de spécifier un protocol - tcp, udp, icmp, all |  +Oct 28 12:08:12 testvm2.ittraining.loc systemd[1]: Finished NFS server and serv> 
-| - -source |  -s  | Permet de spécifier une adresse source |  +</code>
-| - -destination |  -d  | Permet de spécifier une adresse de destination |  +
-| - -in-interface |  -i  | Permet de spécifier une interface réseau d'entrée |  +
-| - -out-interface |  -o  | Permet de spécifier une interface réseau de sortie | +
-| - -fragment |  -f  | Permet de ne spécifier que les paquets fragmentés |   +
-| - -source-port |  -sport  | Permet de spécifier un port source ou une plage de ports source |  +
-| - -destination-port |  -dport  | Permet de spécifier un port de destination ou une plage de ports de destination |  +
-| - -tcp-flags |  s/o  | Permet de spécifier un flag TCP à matcher - SYN, ACK, FIN, RST, URG, PSH, ALL, NONE |  +
-| - -icmp-type |  s/o  | Permet de spécifier un type de paquet ICMP | +
-| - -mac-source |  s/o  | Permet de spécifier une adresse MAC | +
  
-Les options spécifiques à NET sont:+====1.1 - Désactivation de NFSv3====
  
-| - -to-destination |  s/o  | Permet de spécifier l'adresse de destination d'une translation |  +Le serveur NFS fonctionne en mode mixte NFSv3/NFSv4. Ceci est visible grâce à la sortie de la commande **nfsstat** :
-| - -to-source |  s/o  | Permet spécifier l'adresse source d'une translation | +
  
-Les options spécifiques aux LOGS sont:+<code> 
 +[root@testvm2 ~]# nfsstat 
 +Server rpc stats: 
 +calls      badcalls   badfmt     badauth    badclnt 
 +0          0          0          0          0        
 +</code>
  
-| - -log-level |  s/o  | Permet de spécifier le niveau de logs |  +Pour désactiver le serveur NFSv3, éditez la section **[nfsd]** du fichier **/etc/nfs.conf** :
-| - -log-prefix |  s/o  | Permet de spécifier un préfix pour les logs |+
  
-L'option spécifique au STATEFUL est:+<code> 
 +[root@testvm2 ~]# cat /etc/nfs.conf 
 +... 
 +[nfsd] 
 +# debug=0 
 +# threads=8 
 +# host= 
 +# port=0 
 +# grace-time=90 
 +# lease-time=90 
 +# udp=n 
 +# tcp=y 
 +# vers3=y 
 +# vers4=y 
 +# vers4.0=y 
 +# vers4.1=y 
 +# vers4.2=y 
 +rdma=y 
 +rdma-port=20049 
 +... 
 +</code>
  
-- -state |  s/o  | Permet de spécifier l'état du paquet à vérifier | +<code> 
 +[root@testvm2 ~]# vi /etc/nfs.conf 
 +[root@testvm2 ~]# cat /etc/nfs.conf 
 +... 
 +[nfsd] 
 +# debug=0 
 +# threads=8 
 +# host= 
 +# port=0 
 +# grace-time=90 
 +# lease-time=90 
 +# udp=n 
 +# tcp=y 
 +vers3=n 
 +# vers4=y 
 +# vers4.0=y 
 +# vers4.1=y 
 +vers4.2=y 
 +rdma=y 
 +rdma-port=20049 
 +... 
 +</code>
  
-Ce dernier cas fait référence au STATEFUL. Le STATEFUL est la capacité du par-feu à enregistrer dans une table spécifique, l'état des différentes connexions. Cette table s'appelle une **table d'état**. Le principe du fonctionnement de STATEFUL est simple, à savoir, si le paquet entrant appartient à une communication déjà établie, celui-ci n'est pas vérifié.+Désactivez tous les services NFSv3 : 
  
-Il existe 4 états:+<code> 
 +[root@testvm2 ~]# systemctl mask --now rpc-statd.service rpcbind.service rpcbind.socket 
 +Created symlink /etc/systemd/system/rpc-statd.service → /dev/null.ervice rpcbind.socket 
 +Created symlink /etc/systemd/system/rpcbind.service → /dev/null. 
 +Created symlink /etc/systemd/system/rpcbind.socket → /dev/null. 
 +</code>
  
-  NEW +Redémarrez le service **nfs-server** 
-    Le paquet concerne une nouvelle connexion et contient donc un flag SYN à 1 +
-  ESTABLISHED +
-    Le paquet concerne une connexion déjà établie. Le paquet ne doit contenir **ni** flag SYN à 1, **ni** flag FIN à 1 +
-  * RELATED +
-    * Le paquet est d'une connexion qui présente une relation avec une autre connexion +
-  * INVALID +
-    * La paquet provient d'une connexion anormale.+
  
-====LAB #La Configuration par firewalld ====+<code> 
 +[root@testvm2 ~]systemctl restart nfs-server 
 +</code>
  
-Firewalld utilise des **zones** - des jeux de règles pré-définis dans lesquels sont placés les interfaces :+Vérifiez la désactivation de NFSv3 en consultant le fichier **/proc/fs/nfsd/versions** :
  
-  * **trusted** - un réseau fiable. Dans ce cas tous les ports sont autorisés, +<code> 
-  * **work**, **home**, **internal** - un réseau partiellement fiable. Dans ce cas quelques ports sont autorisés, +[root@testvm2 ~]# cat /proc/fs/nfsd/versions 
-  * **dmz**, **public**, **external** un réseau non fiableDans ce cas peu de ports sont autorisés, +-3 +4 +4.1 +4.2 
-  * **block**, **drop** - tout est interdit. La zone drop n'envoie pas de messages d'erreurs.+</code>
  
-<WRAP center round important 50%> +Créez ensuite le fichier **/etc/systemd/system/nfs-mountd.service.d/v4only.conf** :
-**Important** - Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone. +
-</WRAP>+
  
-Le service firewalld doit toujours être lancé :+<code> 
 +[root@testvm2 ~]# mkdir /etc/systemd/system/nfs-mountd.service.d 
 + 
 +[root@testvm2 ~]# vi /etc/systemd/system/nfs-mountd.service.d/v4only.conf 
 + 
 +[root@testvm2 ~]# cat /etc/systemd/system/nfs-mountd.service.d/v4only.conf 
 +[Service] 
 +ExecStart= 
 +ExecStart=/usr/sbin/rpc.mountd --no-tcp --no-udp 
 +</code> 
 + 
 +Rechargez le service **nfs-mountd** :
  
 <code> <code>
-[root@centos8 ~]# systemctl status firewalld.service +[root@testvm2 ~]# systemctl daemon-reload 
-● firewalld.service - firewalld - dynamic firewall daemon + 
-   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled+[root@testvm2 ~]# systemctl restart nfs-mountd 
-   Active: active (running) since Tue 2024-10-01 12:13:55 CEST1h 43min ago + 
-     Docs: man:firewalld(1+[root@testvm2 ~]# systemctl status nfs-mountd 
- Main PID: 1079 (firewalld+● nfs-mountd.service - NFS Mount Daemon 
-    Tasks: (limit: 100949+     Loaded: loaded (/usr/lib/systemd/system/nfs-mountd.service; static
-   Memory: 32.7M +    Drop-In: /etc/systemd/system/nfs-mountd.service.d 
-   CGroup: /system.slice/firewalld.service +             └─v4only.conf 
-           └─1079 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid+     Active: active (running) since Mon 2024-10-28 12:44:22 CET10s ago 
 +       Docs: man:rpc.mountd(8
 +    Process: 1410 ExecStart=/usr/sbin/rpc.mountd --no-tcp --no-udp (code=exited> 
 +   Main PID: 1412 (rpc.mountd
 +      Tasks: (limit: 11096
 +     Memory: 940.0K 
 +        CPU: 6ms 
 +     CGroup: /system.slice/nfs-mountd.service 
 +             └─1412 /usr/sbin/rpc.mountd --no-tcp --no-udp
  
-Oct 01 12:13:53 centos8.ittraining.loc systemd[1]: Starting firewalld - dynamic firewall daemon... +Oct 28 12:44:22 testvm2.ittraining.loc systemd[1]: Starting NFS Mount Daemon... 
-Oct 01 12:13:55 centos8.ittraining.loc systemd[1]: Started firewalld - dynamic firewall daemon. +Oct 28 12:44:22 testvm2.ittraining.loc rpc.mountd[1410]: mountd: No V2 or V3 li> 
-Oct 01 12:13:56 centos8.ittraining.loc firewalld[1079]: WARNING: AllowZoneDrifting is enabledThis is considered an insecure configuration option. It will be removed in a future release+Oct 28 12:44:22 testvm2.ittraining.loc rpc.mountd[1412]: Version 2.5.4 starting 
-[q]+Oct 28 12:44:22 testvm2.ittraining.loc systemd[1]: Started NFS Mount Daemon.
 </code> </code>
  
-===La Configuration de Base de firewalld===+====1.2 - Définition d'un Partage====
  
-La configuration par défaut de firewalld se trouve dans **/usr/lib/firewalld** :+Créez le répertoire **/mountpoint** :
  
 <code> <code>
-[root@centos8 ~]# ls -l /usr/lib/firewalld/ +[root@testvm2 ~]# mkdir /mountpoint 
-total 16 +</code>
-drwxr-xr-x. 2 root root  224 Mar  6  2022 helpers +
-drwxr-xr-x. 2 root root 4096 Mar  6  2022 icmptypes +
-drwxr-xr-x. 2 root root   20 Mar  6  2022 ipsets +
-drwxr-xr-x. 2 root root   33 Mar  6  2022 policies +
-drwxr-xr-x. 2 root root 8192 Mar  6  2022 services +
-drwxr-xr-x. 2 root root  203 Mar  6  2022 zones+
  
-[root@centos8 ~]# ls -l /usr/lib/firewalld/zones +Modifez les permissions et le groupe du répertoire : 
-total 44 + 
--rw-r--r--. 1 root root 299 Aug  9  2021 block.xml +<code> 
--rw-r--r--. 1 root root 293 Aug  9  2021 dmz.xml +[root@testvm2 ~]# chmod 2770 /mountpoint
--rw-r--r--. 1 root root 291 Aug  9  2021 drop.xml +
--rw-r--r--. 1 root root 304 Aug  9  2021 external.xml +
--rw-r--r--. 1 root root 397 Aug  9  2021 home.xml +
--rw-r--r--. 1 root root 412 Aug  9  2021 internal.xml +
--rw-r--r--. 1 root root 809 Nov 26  2019 libvirt.xml +
--rw-r--r--. 1 root root 729 Aug 18  2021 nm-shared.xml +
--rw-r--r--. 1 root root 343 Aug  9  2021 public.xml +
--rw-r--r--. 1 root root 162 Aug  9  2021 trusted.xml +
--rw-r--r--. 1 root root 339 Aug  9  2021 work.xml+
  
-[root@centos8 ~]# ls -l /usr/lib/firewalld/services +[root@testvm2 ~]# chgrp users /mountpoint
-total 704 +
--rw-r--r--. 1 root root  399 Aug  9  2021 amanda-client.xml +
--rw-r--r--. 1 root root  427 Aug  9  2021 amanda-k5-client.xml +
--rw-r--r--. 1 root root  283 Aug  9  2021 amqps.xml +
--rw-r--r--. 1 root root  273 Aug  9  2021 amqp.xml +
--rw-r--r--. 1 root root  285 Aug  9  2021 apcupsd.xml +
--rw-r--r--. 1 root root  301 Aug  9  2021 audit.xml +
--rw-r--r--. 1 root root  320 Aug  9  2021 bacula-client.xml +
--rw-r--r--. 1 root root  346 Aug  9  2021 bacula.xml +
--rw-r--r--. 1 root root  429 Aug  9  2021 bb.xml +
--rw-r--r--. 1 root root  339 Aug  9  2021 bgp.xml +
--rw-r--r--. 1 root root  275 Aug  9  2021 bitcoin-rpc.xml +
--rw-r--r--. 1 root root  307 Aug  9  2021 bitcoin-testnet-rpc.xml +
--rw-r--r--. 1 root root  281 Aug  9  2021 bitcoin-testnet.xml +
--rw-r--r--. 1 root root  244 Aug  9  2021 bitcoin.xml +
--rw-r--r--. 1 root root  410 Aug  9  2021 bittorrent-lsd.xml +
--rw-r--r--. 1 root root  294 Aug  9  2021 ceph-mon.xml +
--rw-r--r--. 1 root root  329 Aug  9  2021 ceph.xml +
--rw-r--r--. 1 root root  168 Aug  9  2021 cfengine.xml +
--rw-r--r--. 1 root root  211 Aug  9  2021 cockpit.xml +
--rw-r--r--. 1 root root  296 Aug  9  2021 collectd.xml +
--rw-r--r--. 1 root root  260 Aug  9  2021 condor-collector.xml +
--rw-r--r--. 1 root root  296 Aug  9  2021 ctdb.xml +
--rw-r--r--. 1 root root  305 Aug  9  2021 dhcpv6-client.xml +
--rw-r--r--. 1 root root  234 Aug  9  2021 dhcpv6.xml +
--rw-r--r--. 1 root root  227 Aug  9  2021 dhcp.xml +
--rw-r--r--. 1 root root  205 Aug  9  2021 distcc.xml +
--rw-r--r--. 1 root root  318 Aug  9  2021 dns-over-tls.xml +
--rw-r--r--. 1 root root  346 Aug  9  2021 dns.xml +
--rw-r--r--. 1 root root  374 Aug  9  2021 docker-registry.xml +
--rw-r--r--. 1 root root  391 Aug  9  2021 docker-swarm.xml +
--rw-r--r--. 1 root root  228 Aug  9  2021 dropbox-lansync.xml +
--rw-r--r--. 1 root root  338 Aug  9  2021 elasticsearch.xml +
--rw-r--r--. 1 root root  304 Aug  9  2021 etcd-client.xml +
--rw-r--r--. 1 root root  304 Aug  9  2021 etcd-server.xml +
--rw-r--r--. 1 root root  224 Aug  9  2021 finger.xml +
--rw-r--r--. 1 root root  270 Aug  9  2021 foreman-proxy.xml +
--rw-r--r--. 1 root root  408 Aug  9  2021 foreman.xml +
--rw-r--r--. 1 root root  709 Aug  9  2021 freeipa-4.xml +
--rw-r--r--. 1 root root  489 Aug  9  2021 freeipa-ldaps.xml +
--rw-r--r--. 1 root root  488 Aug  9  2021 freeipa-ldap.xml +
--rw-r--r--. 1 root root  242 Aug  9  2021 freeipa-replication.xml +
--rw-r--r--. 1 root root  657 Aug  9  2021 freeipa-trust.xml +
--rw-r--r--. 1 root root  361 Aug  9  2021 ftp.xml +
--rw-r--r--. 1 root root  292 Aug  9  2021 galera.xml +
--rw-r--r--. 1 root root  184 Aug  9  2021 ganglia-client.xml +
--rw-r--r--. 1 root root  176 Aug  9  2021 ganglia-master.xml +
--rw-r--r--. 1 root root  212 Aug  9  2021 git.xml +
--rw-r--r--. 1 root root  218 Aug  9  2021 grafana.xml +
--rw-r--r--. 1 root root  119 Aug  9  2021 gre.xml +
--rw-r--r--. 1 root root  608 Aug  9  2021 high-availability.xml +
--rw-r--r--. 1 root root  448 Aug  9  2021 https.xml +
--rw-r--r--. 1 root root  353 Aug  9  2021 http.xml +
--rw-r--r--. 1 root root  372 Aug  9  2021 imaps.xml +
--rw-r--r--. 1 root root  327 Aug  9  2021 imap.xml +
--rw-r--r--. 1 root root  454 Aug  9  2021 ipp-client.xml +
--rw-r--r--. 1 root root  427 Aug  9  2021 ipp.xml +
--rw-r--r--. 1 root root  894 Aug  9  2021 ipsec.xml +
--rw-r--r--. 1 root root  255 Aug  9  2021 ircs.xml +
--rw-r--r--. 1 root root  247 Aug  9  2021 irc.xml +
--rw-r--r--. 1 root root  264 Aug  9  2021 iscsi-target.xml +
--rw-r--r--. 1 root root  358 Aug  9  2021 isns.xml +
--rw-r--r--. 1 root root  213 Aug  9  2021 jenkins.xml +
--rw-r--r--. 1 root root  182 Aug  9  2021 kadmin.xml +
--rw-r--r--. 1 root root  272 Aug  9  2021 kdeconnect.xml +
--rw-r--r--. 1 root root  233 Aug  9  2021 kerberos.xml +
--rw-r--r--. 1 root root  384 Aug  9  2021 kibana.xml +
--rw-r--r--. 1 root root  249 Aug  9  2021 klogin.xml +
--rw-r--r--. 1 root root  221 Aug  9  2021 kpasswd.xml +
--rw-r--r--. 1 root root  182 Aug  9  2021 kprop.xml +
--rw-r--r--. 1 root root  242 Aug  9  2021 kshell.xml +
--rw-r--r--. 1 root root  308 Aug  9  2021 kube-apiserver.xml +
--rw-r--r--. 1 root root  232 Aug  9  2021 ldaps.xml +
--rw-r--r--. 1 root root  199 Aug  9  2021 ldap.xml +
--rw-r--r--. 1 root root  385 Aug  9  2021 libvirt-tls.xml +
--rw-r--r--. 1 root root  389 Aug  9  2021 libvirt.xml +
--rw-r--r--. 1 root root  269 Aug  9  2021 lightning-network.xml +
--rw-r--r--. 1 root root  324 Aug  9  2021 llmnr.xml +
--rw-r--r--. 1 root root  349 Aug  9  2021 managesieve.xml +
--rw-r--r--. 1 root root  432 Aug  9  2021 matrix.xml +
--rw-r--r--. 1 root root  424 Aug  9  2021 mdns.xml +
--rw-r--r--. 1 root root  245 Aug  9  2021 memcache.xml +
--rw-r--r--. 1 root root  343 Aug  9  2021 minidlna.xml +
--rw-r--r--. 1 root root  237 Aug  9  2021 mongodb.xml +
--rw-r--r--. 1 root root  473 Aug  9  2021 mosh.xml +
--rw-r--r--. 1 root root  211 Aug  9  2021 mountd.xml +
--rw-r--r--. 1 root root  296 Aug  9  2021 mqtt-tls.xml +
--rw-r--r--. 1 root root  287 Aug  9  2021 mqtt.xml +
--rw-r--r--. 1 root root  170 Aug  9  2021 mssql.xml +
--rw-r--r--. 1 root root  190 Aug  9  2021 ms-wbt.xml +
--rw-r--r--. 1 root root  242 Aug  9  2021 murmur.xml +
--rw-r--r--. 1 root root  171 Aug  9  2021 mysql.xml +
--rw-r--r--. 1 root root  250 Aug  9  2021 nbd.xml +
--rw-r--r--. 1 root root  342 Aug  9  2021 nfs3.xml +
--rw-r--r--. 1 root root  324 Aug  9  2021 nfs.xml +
--rw-r--r--. 1 root root  293 Aug  9  2021 nmea-0183.xml +
--rw-r--r--. 1 root root  247 Aug  9  2021 nrpe.xml +
--rw-r--r--. 1 root root  389 Aug  9  2021 ntp.xml +
--rw-r--r--. 1 root root  368 Aug  9  2021 nut.xml +
--rw-r--r--. 1 root root  335 Aug  9  2021 openvpn.xml +
--rw-r--r--. 1 root root  260 Aug  9  2021 ovirt-imageio.xml +
--rw-r--r--. 1 root root  343 Aug  9  2021 ovirt-storageconsole.xml +
--rw-r--r--. 1 root root  235 Aug  9  2021 ovirt-vmconsole.xml +
--rw-r--r--. 1 root root 1024 Aug  9  2021 plex.xml +
--rw-r--r--. 1 root root  433 Aug  9  2021 pmcd.xml +
--rw-r--r--. 1 root root  474 Aug  9  2021 pmproxy.xml +
--rw-r--r--. 1 root root  544 Aug  9  2021 pmwebapis.xml +
--rw-r--r--. 1 root root  460 Aug  9  2021 pmwebapi.xml +
--rw-r--r--. 1 root root  357 Aug  9  2021 pop3s.xml +
--rw-r--r--. 1 root root  348 Aug  9  2021 pop3.xml +
--rw-r--r--. 1 root root  181 Aug  9  2021 postgresql.xml +
--rw-r--r--. 1 root root  509 Aug  9  2021 privoxy.xml +
--rw-r--r--. 1 root root  213 Aug  9  2021 prometheus.xml +
--rw-r--r--. 1 root root  261 Aug  9  2021 proxy-dhcp.xml +
--rw-r--r--. 1 root root  424 Aug  9  2021 ptp.xml +
--rw-r--r--. 1 root root  414 Aug  9  2021 pulseaudio.xml +
--rw-r--r--. 1 root root  297 Aug  9  2021 puppetmaster.xml +
--rw-r--r--. 1 root root  273 Aug  9  2021 quassel.xml +
--rw-r--r--. 1 root root  520 Aug  9  2021 radius.xml +
--rw-r--r--. 1 root root  183 Aug  9  2021 rdp.xml +
--rw-r--r--. 1 root root  212 Aug  9  2021 redis-sentinel.xml +
--rw-r--r--. 1 root root  268 Aug  9  2021 redis.xml +
--rw-r--r--. 1 root root  381 Aug  9  2021 RH-Satellite-6-capsule.xml +
--rw-r--r--. 1 root root  556 Aug  9  2021 RH-Satellite-6.xml +
--rw-r--r--. 1 root root  214 Aug  9  2021 rpc-bind.xml +
--rw-r--r--. 1 root root  213 Aug  9  2021 rquotad.xml +
--rw-r--r--. 1 root root  310 Aug  9  2021 rsh.xml +
--rw-r--r--. 1 root root  311 Aug  9  2021 rsyncd.xml +
--rw-r--r--. 1 root root  350 Aug  9  2021 rtsp.xml +
--rw-r--r--. 1 root root  329 Aug  9  2021 salt-master.xml +
--rw-r--r--. 1 root root  371 Aug  9  2021 samba-client.xml +
--rw-r--r--. 1 root root 1298 Aug  9  2021 samba-dc.xml +
--rw-r--r--. 1 root root  448 Aug  9  2021 samba.xml +
--rw-r--r--. 1 root root  324 Aug  9  2021 sane.xml +
--rw-r--r--. 1 root root  283 Aug  9  2021 sips.xml +
--rw-r--r--. 1 root root  496 Aug  9  2021 sip.xml +
--rw-r--r--. 1 root root  299 Aug  9  2021 slp.xml +
--rw-r--r--. 1 root root  231 Aug  9  2021 smtp-submission.xml +
--rw-r--r--. 1 root root  577 Aug  9  2021 smtps.xml +
--rw-r--r--. 1 root root  550 Aug  9  2021 smtp.xml +
--rw-r--r--. 1 root root  308 Aug  9  2021 snmptrap.xml +
--rw-r--r--. 1 root root  342 Aug  9  2021 snmp.xml +
--rw-r--r--. 1 root root  405 Aug  9  2021 spideroak-lansync.xml +
--rw-r--r--. 1 root root  275 Aug  9  2021 spotify-sync.xml +
--rw-r--r--. 1 root root  173 Aug  9  2021 squid.xml +
--rw-r--r--. 1 root root  421 Aug  9  2021 ssdp.xml +
--rw-r--r--. 1 root root  463 Aug  9  2021 ssh.xml +
--rw-r--r--. 1 root root  631 Aug  9  2021 steam-streaming.xml +
--rw-r--r--. 1 root root  287 Aug  9  2021 svdrp.xml +
--rw-r--r--. 1 root root  231 Aug  9  2021 svn.xml +
--rw-r--r--. 1 root root  297 Aug  9  2021 syncthing-gui.xml +
--rw-r--r--. 1 root root  311 Aug  9  2021 syncthing.xml +
--rw-r--r--. 1 root root  496 Aug  9  2021 synergy.xml +
--rw-r--r--. 1 root root  444 Aug  9  2021 syslog-tls.xml +
--rw-r--r--. 1 root root  329 Aug  9  2021 syslog.xml +
--rw-r--r--. 1 root root  393 Aug  9  2021 telnet.xml +
--rw-r--r--. 1 root root  252 Aug  9  2021 tentacle.xml +
--rw-r--r--. 1 root root  288 Aug  9  2021 tftp-client.xml +
--rw-r--r--. 1 root root  424 Aug  9  2021 tftp.xml +
--rw-r--r--. 1 root root  221 Aug  9  2021 tile38.xml +
--rw-r--r--. 1 root root  336 Aug  9  2021 tinc.xml +
--rw-r--r--. 1 root root  771 Aug  9  2021 tor-socks.xml +
--rw-r--r--. 1 root root  244 Aug  9  2021 transmission-client.xml +
--rw-r--r--. 1 root root  264 Aug  9  2021 upnp-client.xml +
--rw-r--r--. 1 root root  593 Aug  9  2021 vdsm.xml +
--rw-r--r--. 1 root root  475 Aug  9  2021 vnc-server.xml +
--rw-r--r--. 1 root root  310 Aug  9  2021 wbem-https.xml +
--rw-r--r--. 1 root root  352 Aug  9  2021 wbem-http.xml +
--rw-r--r--. 1 root root  323 Aug  9  2021 wsmans.xml +
--rw-r--r--. 1 root root  316 Aug  9  2021 wsman.xml +
--rw-r--r--. 1 root root  329 Aug  9  2021 xdmcp.xml +
--rw-r--r--. 1 root root  509 Aug  9  2021 xmpp-bosh.xml +
--rw-r--r--. 1 root root  488 Aug  9  2021 xmpp-client.xml +
--rw-r--r--. 1 root root  264 Aug  9  2021 xmpp-local.xml +
--rw-r--r--. 1 root root  545 Aug  9  2021 xmpp-server.xml +
--rw-r--r--. 1 root root  314 Aug  9  2021 zabbix-agent.xml +
--rw-r--r--. 1 root root  315 Aug  9  2021 zabbix-server.xml+
  
-[root@centos8 ~]# ls -/usr/lib/firewalld/icmptypes+[root@testvm2 ~]# ls -ld /mountpoint
-total 180 +drwxrws---. root users 6 Oct 28 13:05 /mountpoint/
--rw-r--r--. root root 385 Aug  9  2021 address-unreachable.xml +
--rw-r--r--. 1 root root 258 Aug  9  2021 bad-header.xml +
--rw-r--r--. 1 root root 294 Aug  9  2021 beyond-scope.xml +
--rw-r--r--. 1 root root 279 Aug  9  2021 communication-prohibited.xml +
--rw-r--r--. 1 root root 222 Aug  9  2021 destination-unreachable.xml +
--rw-r--r--. 1 root root 173 Aug  9  2021 echo-reply.xml +
--rw-r--r--. 1 root root 210 Aug  9  2021 echo-request.xml +
--rw-r--r--. 1 root root 261 Aug  9  2021 failed-policy.xml +
--rw-r--r--. 1 root root 280 Aug  9  2021 fragmentation-needed.xml +
--rw-r--r--. 1 root root 266 Aug  9  2021 host-precedence-violation.xml +
--rw-r--r--. 1 root root 257 Aug  9  2021 host-prohibited.xml +
--rw-r--r--. 1 root root 242 Aug  9  2021 host-redirect.xml +
--rw-r--r--. 1 root root 239 Aug  9  2021 host-unknown.xml +
--rw-r--r--. 1 root root 247 Aug  9  2021 host-unreachable.xml +
--rw-r--r--. 1 root root 229 Aug  9  2021 ip-header-bad.xml +
--rw-r--r--. 1 root root 355 Aug  9  2021 neighbour-advertisement.xml +
--rw-r--r--. 1 root root 457 Aug  9  2021 neighbour-solicitation.xml +
--rw-r--r--. 1 root root 250 Aug  9  2021 network-prohibited.xml +
--rw-r--r--. 1 root root 248 Aug  9  2021 network-redirect.xml +
--rw-r--r--. 1 root root 239 Aug  9  2021 network-unknown.xml +
--rw-r--r--. 1 root root 247 Aug  9  2021 network-unreachable.xml +
--rw-r--r--. 1 root root 239 Aug  9  2021 no-route.xml +
--rw-r--r--. 1 root root 328 Aug  9  2021 packet-too-big.xml +
--rw-r--r--. 1 root root 225 Aug  9  2021 parameter-problem.xml +
--rw-r--r--. 1 root root 233 Aug  9  2021 port-unreachable.xml +
--rw-r--r--. 1 root root 256 Aug  9  2021 precedence-cutoff.xml +
--rw-r--r--. 1 root root 249 Aug  9  2021 protocol-unreachable.xml +
--rw-r--r--. 1 root root 185 Aug  9  2021 redirect.xml +
--rw-r--r--. 1 root root 244 Aug  9  2021 reject-route.xml +
--rw-r--r--. 1 root root 241 Aug  9  2021 required-option-missing.xml +
--rw-r--r--. 1 root root 227 Aug  9  2021 router-advertisement.xml +
--rw-r--r--. 1 root root 223 Aug  9  2021 router-solicitation.xml +
--rw-r--r--. 1 root root 248 Aug  9  2021 source-quench.xml +
--rw-r--r--. 1 root root 236 Aug  9  2021 source-route-failed.xml +
--rw-r--r--. 1 root root 253 Aug  9  2021 time-exceeded.xml +
--rw-r--r--. 1 root root 233 Aug  9  2021 timestamp-reply.xml +
--rw-r--r--. 1 root root 228 Aug  9  2021 timestamp-request.xml +
--rw-r--r--. 1 root root 258 Aug  9  2021 tos-host-redirect.xml +
--rw-r--r--. 1 root root 257 Aug  9  2021 tos-host-unreachable.xml +
--rw-r--r--. 1 root root 272 Aug  9  2021 tos-network-redirect.xml +
--rw-r--r--. 1 root root 269 Aug  9  2021 tos-network-unreachable.xml +
--rw-r--r--. 1 root root 293 Aug  9  2021 ttl-zero-during-reassembly.xml +
--rw-r--r--. 1 root root 256 Aug  9  2021 ttl-zero-during-transit.xml +
--rw-r--r--. 1 root root 259 Aug  9  2021 unknown-header-type.xml +
--rw-r--r--. 1 root root 249 Aug  9  2021 unknown-option.xml+
 </code> </code>
  
-Ces fichiers sont au format **xml**, par exemple :+Créez ensuite les fichiers **test1.txt** et **test2.txt** dans le répertoire **/mountpoint** :
  
 <code> <code>
-[root@centos8 ~]# cat /usr/lib/firewalld/zones/home.xml +[root@testvm2 mountpoint1]# cd /mountpoint 
-<?xml version="1.0" encoding="utf-8"?> + 
-<zone> +[root@testvm2 mountpoint]# touch test1.txt test2.txt 
-  <short>Home</short> + 
-  <description>For use in home areasYou mostly trust the other computers on networks to not harm your computerOnly selected incoming connections are accepted.</description> +[root@testvm2 mountpoint1]# cd ~
-  <service name="ssh"/> +
-  <service name="mdns"/> +
-  <service name="samba-client"/> +
-  <service name="dhcpv6-client"/> +
-  <service name="cockpit"/> +
-</zone>+
 </code> </code>
  
-La configuration de firewalld ainsi que les définitions et règles personnalisées se trouvent dans **/etc/firewalld** :+Editez ensuite le fichier **/etc/exports** afin d'exporter le répertoire **/mountpoint** :
  
 <code> <code>
-[root@centos8 ~]# ls -l /etc/firewalld/ +[root@testvm2 ~]# vi /etc/exports
-total 8 +
--rw-r--r--. 1 root root 2840 Aug  9  2021 firewalld.conf +
-drwxr-x---. 2 root root    6 Aug  9  2021 helpers +
-drwxr-x---. 2 root root    6 Aug  9  2021 icmptypes +
-drwxr-x---. 2 root root    6 Aug  9  2021 ipsets +
--rw-r--r--. 1 root root  283 Aug  9  2021 lockdown-whitelist.xml +
-drwxr-x---. 2 root root    6 Aug  9  2021 policies +
-drwxr-x---. 2 root root    6 Aug  9  2021 services +
-drwxr-x---. 2 root root   46 Aug  9  2021 zones+
  
-[root@centos8 ~]# ls -l /etc/firewalld/zones/ +[root@testvm2 ~]# cat /etc/exports 
-total 8 +/mountpoint     192.168.56.0/24(rw)     2001:db8::/32(rw) 
--rw-r--r--. 1 root root 380 Jun 16  2021 public.xml +</code>
--rw-r--r--. 1 root root 343 Jun 16  2021 public.xml.old+
  
-[root@centos8 ~]# ls -l /etc/firewalld/services/ +Configurez SELinux en mode **permissive** et arrêtez le service **firewalld** :
-total 0+
  
-[root@centos8 ~]# ls -l /etc/firewalld/icmptypes/ +<code> 
-total 0+[root@testvm2 ~]# setenforce permissive 
 + 
 +[root@testvm2 ~]# systemctl stop firewalld
 </code> </code>
  
-Le fichier de configuration de firewalld est **/etc/firewalld/firewalld.conf** :+Redémarrez le service **nfs-server** :
  
 <code> <code>
-[root@centos8 ~]# cat /etc/firewalld/firewalld.conf  +[root@testvm2 ~]# systemctl restart nfs-server
-# firewalld config file+
  
-default zone +[root@testvm2 ~]systemctl status nfs-server 
-# The default zone used if an empty zone string is used+● nfs-server.service - NFS server and services 
-# Defaultpublic +     Loadedloaded (/usr/lib/systemd/system/nfs-server.service; enabled; prese> 
-DefaultZone=public+     Active: active (exited) since Mon 2024-10-28 13:10:35 CET; 10s ago 
 +       Docs: man:rpc.nfsd(8) 
 +             man:exportfs(8) 
 +    Process: 1475 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUC> 
 +    Process: 1476 ExecStart=/usr/sbin/rpc.nfsd (code=exited, status=0/SUCCESS) 
 +    Process: 1486 ExecStart=/bin/sh -c if systemctl -q is-active gssproxy; then> 
 +   Main PID: 1486 (code=exited, status=0/SUCCESS) 
 +        CPU: 30ms
  
-# Clean up on exit +Oct 28 13:10:34 testvm2.ittraining.loc systemd[1]: Starting NFS server and serv> 
-# If set to no or false the firewall configuration will not get cleaned up +Oct 28 13:10:35 testvm2.ittraining.loc systemd[1]Finished NFS server and serv> 
-# on exit or stop of firewalld +</code>
-# Defaultyes +
-CleanupOnExit=yes+
  
-# Lockdown +Ajoutez le groupe et l'utilisateur **trainee** :
-# If set to enabled, firewall changes with the D-Bus interface will be limited +
-# to applications that are listed in the lockdown whitelist. +
-# The lockdown whitelist file is lockdown-whitelist.xml +
-# Defaultno +
-Lockdown=no+
  
-# IPv6_rpfilter +<code> 
-# Performs a reverse path filter test on a packet for IPv6. If a reply to the +[root@testvm2 ~]groupadd trainee && useradd trainee -c Trainee -d /home/trainee -g trainee -G users -s /bin/bash 
-# packet would be sent via the same interface that the packet arrived on, the  +</code>
-# packet will match and be accepted, otherwise dropped. +
-# The rp_filter for IPv4 is controlled using sysctl. +
-# Note: This feature has a performance impact. See man page FIREWALLD.CONF(5) +
-# for details. +
-Default: yes +
-IPv6_rpfilter=yes+
  
-# IndividualCalls +Définissez le mot de passe **trainee** pour l'utilisateur **trainee** :
-# Do not use combined -restore calls, but individual calls. This increases the +
-# time that is needed to apply changes and to start the daemon, but is good for +
-# debugging. +
-# Defaultno +
-IndividualCalls=no+
  
-# LogDenied +<code> 
-Add logging rules right before reject and drop rules in the INPUT, FORWARD +[root@testvm2 ~]passwd trainee 
-# and OUTPUT chains for the default rules and also final reject and drop rules +Changement de mot de passe pour l'utilisateur trainee. 
-# in zonesPossible values areall, unicast, broadcast, multicast and off. +Nouveau mot de passe trainee 
-# Defaultoff +MOT DE PASSE INCORRECT Le mot de passe comporte moins de 8 caractères 
-LogDenied=off+Retapez le nouveau mot de passe : trainee 
 +passwd : mise à jour réussie de tous les jetons d'authentification. 
 +</code>
  
-FirewallBackend +=====LAB #Configuration du Client NFSv4=====
-# Selects the firewall backend implementation. +
-# Choices are: +
-#       nftables (default) +
-#       - iptables (iptables, ip6tables, ebtables and ipset) +
-FirewallBackend=nftables+
  
-# FlushAllOnReload +Déconnectez-vous de la machine virtuelle **testvm2** :
-# Flush all runtime rules on a reload. In previous releases some runtime +
-# configuration was retained during a reload, namely; interface to zone +
-# assignment, and direct rules. This was confusing to users. To get the old +
-# behavior set this to "no"+
-# Defaultyes +
-FlushAllOnReload=yes+
  
-# RFC3964_IPv4 +<code> 
-# As per RFC 3964, filter IPv6 traffic with 6to4 destination addresses that +[root@testvm2 ~][CTRL]+[VERR MAJ]+[5] 
-# correspond to IPv4 addresses that should not be routed over the public +[root@redhat9 ~]#  
-internet. +</code>
-Defaults to "yes". +
-RFC3964_IPv4=yes+
  
-# AllowZoneDrifting +Connectez-vous à la machine virtuelle **testvm1** : 
-# Older versions of firewalld had undocumented behavior known as "zone + 
-# drifting". This allowed packets to ingress multiple zones - this is a +<code> 
-violation of zone based firewalls. However, some users rely on this behavior +[root@redhat9 ~]virsh console testvm1 
-to have a "catch-all" zone, e.g. the default zone. You can enable this if you +Connected to domain 'testvm1
-# desire such behavior. It's disabled by default for security reasons. +Escape character is ^] (Ctrl + ]
-# Note: If "yes" packets will only drift from source based zones to interface +[Enter] 
-# based zones (including the default zone). Packets never drift from interface +[root@testvm1 /]#
-# based zones to other interfaces based zones (including the default zone). +
-Possible values; "yes", "no". Defaults to "yes"+
-AllowZoneDrifting=yes+
 </code> </code>
  
-===La Commande firewall-cmd===+Installez le paquet **nfs-utils** :
  
-firewalld s'appuie sur netfilter. Pour cette raison, l'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall.+<code> 
 +[root@testvm1 /]# dnf install -y nfs-utils 
 +</code>
  
-<WRAP center round important 50%> +Ajoutez le groupe et l'utilisateur **trainee** :
-**Important** - firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande **firewall-config** qui lance un outi de configuration graphique. +
-</WRAP>+
  
-Pour obtenir la liste de toutes les zones prédéfinies, utilisez la commande suivante :+<code> 
 +[root@testvm1 /]# groupadd trainee && useradd trainee -c Trainee -d /home/trainee -g trainee -G users -s /bin/bash 
 +</code> 
 + 
 +Définissez le mot de passe **trainee** pour l'utilisateur **trainee** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --get-zones +[root@testvm1 /]# passwd trainee 
-block dmz drop external home internal libvirt nm-shared public trusted work+Changement de mot de passe pour l'utilisateur trainee. 
 +Nouveau mot de passe : trainee 
 +MOT DE PASSE INCORRECT : Le mot de passe comporte moins de 8 caractères 
 +Retapez le nouveau mot de passe : trainee 
 +passwd : mise à jour réussie de tous les jetons d'authentification.
 </code> </code>
  
-Pour obtenir la liste de toutes les services prédéfinis, utilisez la commande suivante :+===2.1 - Montage Ephémère=== 
 + 
 +Montez le partage **192.168.56.100:/mountpoint** sur le répertoire **/mnt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --get-services +[root@testvm1 /]# mount -nfs -o rw,sync 192.168.56.100:/mountpoint /mnt 
-RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server+[172524.919003] FS-Cache: Loaded 
 +[172525.206140] Key type dns_resolver registered 
 +[172525.606078] NFS: Registering the id_resolver key type 
 +[172525.606089] Key type id_resolver registered 
 +[172525.606090] Key type id_legacy registered
 </code> </code>
  
-Pour obtenir la liste de toutes les types ICMP prédéfinis, utilisez la commande suivante :+Vérifiez que le montage a été effectué :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --get-icmptypes +[root@testvm1 /]# mount | grep mountpoint 
-address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect reject-route required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option+192.168.56.100:/mountpoint on /mnt type nfs4 (rw,relatime,sync,vers=4.2,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.56.50,local_lock=none,addr=192.168.56.100)
 </code> </code>
  
-Pour obtenir la liste des zones de la configuration courante, utilisez la commande suivante :+Essayez de vous placer dans le répertoire **/mnt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --get-active-zones +[root@testvm1 /]# ls -l /mnt 
-libvirt +lsimpossible d'ouvrir le répertoire '/mnt'Permission non accordée
-  interfacesvirbr0 +
-public +
-  interfacesens18+
 </code> </code>
  
-Pour obtenir la liste des zones de la configuration courante pour une interface spécifique, utilisez la commande suivante :+L'utilisateur **root** ne peut pas se placer dans /mnt parce que root ne fait pas partie du groupe **users**. Devenez donc l'utilisateur **trainee** et lister le contenu du répertorie **/mnt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --get-zone-of-interface=ens18 +[root@testvm1 /]# su trainee 
-public+ 
 +[trainee@testvm1 ~]$ ls -l /mnt 
 +total 0 
 +-rw-r--r--. 1 root users 0 28 oct.  13:59 test1.txt 
 +-rw-r--r--. 1 root users 0 28 oct.  13:59 test2.txt
 </code> </code>
  
-Pour obtenir la liste des services autorisés pour la zone public, utilisez la commande suivante :+Créez maintenant le fichier **/mnt/test3.txt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=public --list-services +[trainee@testvm1 ~]$ touch /mnt/test3.txt 
-cockpit dhcpv6-client ssh+ 
 +[trainee@testvm1 ~]$ ls -l /mnt 
 +total 0 
 +-rw-r--r--. 1 root    users 0 28 oct.  13:59 test1.txt 
 +-rw-r--r--. 1 root    users 0 28 oct.  13:59 test2.txt 
 +-rw-r--r--. 1 trainee users 0 28 oct.  14:06 test3.txt
 </code> </code>
  
-Pour obtenir toute la configuration pour la zone public, utilisez la commande suivante :+====2.2 - Montage Permanent==== 
 + 
 +Démontez le point de montage **/mnt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --get-active-zones +[root@testvm1 /]# umount /mnt 
-libvirt + 
-  interfaces: virbr0 +[root@testvm1 /]# mount | grep mountpoint 
-public + 
-  interfaces: ens18 +[root@testvm1 /]# ls /mnt 
-[root@centos8 ~]# firewall-cmd --get-zone-of-interface=ens18 +
-public +
-[root@centos8 ~]# firewall-cmd --zone=public --list-services +
-cockpit dhcpv6-client ssh +
-[root@centos8 ~]# firewall-cmd --zone=public --list-all +
-public (active) +
-  target: default +
-  icmp-block-inversion: no +
-  interfaces: ens18 +
-  sources:  +
-  services: cockpit dhcpv6-client ssh +
-  ports: 5901/tcp +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules:+
 </code> </code>
  
-Pour obtenir la liste complète de toutes les zones et leurs configurationsutilisez la commande suivante :+Editez ensuite le fichier **/etc/fstab** en y ajoutant la ligne **192.168.56.100:/mountpoint      /mnt    nfs     rw,sync 0 0** :
  
 <code> <code>
-root@centos8 ~]# firewall-cmd --zone=public --list-all +[root@testvm1 /]# vi /etc/fstab
-public (active) +
-  target: default +
-  icmp-block-inversion: no +
-  interfaces: ens18 +
-  sources:  +
-  services: cockpit dhcpv6-client ssh +
-  ports: 5901/tcp +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-[root@centos8 ~]# firewall-cmd --list-all-zones +
-block +
-  target: %%REJECT%% +
-  icmp-block-inversion: no +
-  interfaces:  +
-  sources:  +
-  services:  +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules: +
  
-dmz +[root@testvm1 /]# cat /etc/fstab
-  target: default +
-  icmp-block-inversion: no +
-  interfaces:  +
-  sources:  +
-  services: ssh +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules: +
  
-drop +# 
-  target: DROP +# /etc/fstab 
-  icmp-block-inversionno +# Created by anaconda on Fri Oct 25 15:41:24 2024 
-  interfaces:  +# 
-  sources:  +# Accessible filesystems, by reference, are maintained under '/dev/disk/'. 
-  services:  +# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info. 
-  ports:  +# 
-  protocols:  +# After editing this file, run 'systemctl daemon-reload' to update systemd 
-  forward: no +# units generated from this file. 
-  masquerade: no +
-  forward-ports:  +UUID=e778bb41-0528-4e4b-9b6b-b80070117978 /                       xfs     defaults        0 0 
-  source-ports:  +UUID=6d55a589-bef2-4a9b-941f-d2f288057104 /boot                   xfs     defaults        0 0 
-  icmp-blocks:  +UUID=11306088-b22e-4906-9c31-b2f1a8b416fd none                    swap    defaults        0 0 
-  rich rules+192.168.56.100:/mountpoint      /mnt    nfs     rw,sync 0 0  
 +</code>
  
-external +Exécutez la commande **systemctl daemon-reload** pour une prise en compte des modifications :
-  target: default +
-  icmp-block-inversion: no +
-  interfaces:  +
-  sources:  +
-  services: ssh +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: yes +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules+
  
-home +<code> 
-  target: default +[root@testvm1 /]# systemctl daemon-reload 
-  icmp-block-inversion: no +[175309.751966] systemd-rc-local-generator[4833]/etc/rc.d/rc.local is not marked executable, skipping. 
-  interfaces:  +</code>
-  sources:  +
-  services: cockpit dhcpv6-client mdns samba-client ssh +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules: +
  
-internal +Appliquez maintenant le fichier **/etc/fstab** 
-  target: default +
-  icmp-block-inversion: no +
-  interfaces:  +
-  sources:  +
-  services: cockpit dhcpv6-client mdns samba-client ssh +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules+
  
-libvirt (active) +<code> 
-  target: ACCEPT +[root@testvm1 /]# mount -a
-  icmp-block-inversion: no +
-  interfaces: virbr0 +
-  sources:  +
-  services: dhcp dhcpv6 dns ssh tftp +
-  ports:  +
-  protocols: icmp ipv6-icmp +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-        rule priority="32767" reject+
  
-nm-shared +[root@testvm1 /]# mount | grep mountpoint 
-  targetACCEPT +192.168.56.100:/mountpoint on /mnt type nfs4 (rw,relatime,sync,vers=4.2,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.56.50,local_lock=none,addr=192.168.56.100) 
-  icmp-block-inversion: no +</code>
-  interfaces:  +
-  sources:  +
-  services: dhcp dns ssh +
-  ports:  +
-  protocols: icmp ipv6-icmp +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-        rule priority="32767" reject+
  
-public (active) +Devenez l'utilisateur **trainee** et vérifiez la présence des trois fichiers :
-  target: default +
-  icmp-block-inversion: no +
-  interfaces: ens18 +
-  sources:  +
-  services: cockpit dhcpv6-client ssh +
-  ports: 5901/tcp +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules+
  
-trusted +<code> 
-  target: ACCEPT +[root@testvm1 /]# su trainee 
-  icmp-block-inversion: no +Dernière connexion lundi 28 octobre 2024 à 14:04:58 CET sur ttyS0 
-  interfaces + 
-  sources +[trainee@testvm1 ~]$ ls -l /mnt 
-  services:  +total 0 
-  ports:  +-rw-r--r--. 1 root    users 0 28 oct.  13:59 test1.txt 
-  protocols:  +-rw-r--r--. 1 root    users 0 28 oct.  13:59 test2.txt 
-  forward: no +-rw-r--r--. 1 trainee users 0 28 oct.  14:06 test3.txt
-  masqueradeno +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules+
  
-work +[trainee@testvm1 ~]$ exit 
-  target: default +déconnexion
-  icmp-block-inversion: no +
-  interfaces:  +
-  sources:  +
-  services: cockpit dhcpv6-client ssh +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules: +
 </code> </code>
  
-Pour changer la zone par défaut de public à work, utilisez la commande suivante :+Déconnectez-vous de la machine virtuelle **testvm1** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --set-default-zone=work +[root@testvm1 /]# [CTRL]+[VERR MAJ]+[5] 
-success+[root@redhat9 ~]#  
 +</code>
  
-[root@centos8 ~]# firewall-cmd --get-active-zones +Connectez-vous à la machine virtuelle **testvm2** : 
-libvirt + 
-  interfaces: virbr0 +<code> 
-work +[root@redhat9 ~]# virsh console testvm2 
-  interfaces: ens18+Connected to domain 'testvm1' 
 +Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm2 ~]#
 </code> </code>
  
-Pour ajouter l'interface ip_fixe à la zone work, utilisez la commande suivante :+Vérifiez la présence des trois fichiers dans le répertoire **/mountpoint** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-interface=ip_fixe +[root@testvm2 ~]# ls -l /mountpoint 
-success+total 0 
 +-rw-r--r--. 1 root    users 0 Oct 28 13:59 test1.txt 
 +-rw-r--r--. 1 root    users 0 Oct 28 13:59 test2.txt 
 +-rw-r--r--. 1 trainee users 0 Oct 28 14:06 test3.txt 
 +</code>
  
-[root@centos8 ~]# firewall-cmd --get-active-zones +=====LAB #3 - Configuration de NFSv4 avec Automounter===== 
-libvirt + 
-  interfacesvirbr0 +====Présentation==== 
-work + 
-  interfacesens18 ip_fixe+L'**Automounter** est un service,appelé **autofs**, qui monte automatiquement les systèmes de fichiers et les exportations NFS à la demande et démonte automatiquement les systèmes de fichiers et les exportations NFS lorsque les ressources montées ne sont plus utilisées. 
 + 
 +Automounter a été créée pour résoudre le problème des utilisateurs non privilégiés qui ne disposent pas des autorisations suffisantes pour utiliser la commande **mount**. Sans l'utilisation de la commande mount,les utilisateurs normaux ne peuvent pas accéder aux supports amovibles tels que les CD, les DVD et les lecteurs de disques amovibles. 
 + 
 +En outre, si un système de fichiers local ou distant n'est pas monté au démarrage à l'aide de la configuration **/etc/fstab**, un utilisateur normal ne peut pas monter et accéder à ces systèmes de fichiers non montés. 
 + 
 +Les fichiers de configuration d'Automounter contiennent des informations sur le montage du système de fichiers, de la même manière que les entrées du fichier /etc/fstab.  
 + 
 +Bien que les systèmes de fichiers spécifiés dans /etc/fstab se montent au démarrage du système restent montés jusqu'à l'arrêt du système ou toute autre intervention, les systèmes de fichiers contrôlés par l'Automounter se montent à la demande, lorsqu'un utilisateur ou une application tente d'entrer dans le point de montage du système de fichiers pour accéder aux fichiers. 
 + 
 +L'utilisation des ressources pour les systèmes de fichiers Automounter est équivalente à celle des systèmes de fichiers montés au démarrage car un système de fichiers n'utilise des ressources que lorsqu'un programme lit et écrit des fichiers ouverts. Les systèmes de fichiers montés mais inactifs et les systèmes de fichiers non montés utilisent la même quantité de ressources : presque aucune. 
 + 
 +L'avantage de l'Automounter est qu'en démontant le système de fichiers chaque fois qu'il n'est plus utilisé, le système de fichiers est protégé contre toute corruption inattendue, 
 + 
 +Lorsque le système de fichiers est à nouveau monté, le service autofs utilise la configuration de montage la plus récente, contrairement à un montage dans le fichier /etc/fstab, qui peut encore utiliser une configuration montée il y a plusieurs mois lors du dernier démarrage du système. En outre, si la configuration de serveur NFS comprend des serveurs et des chemins d'accès redondants, l'Automounter peut utiliser la configuration de montage la plus récente. 
 + 
 +====Le Service autofs==== 
 + 
 +Le service autofs prend en charge les mêmes systèmes de fichiers locaux et distants que le fichier /etc/fstab, y compris les protocoles de partage de fichiers NFS et SMB, et prend en charge les mêmes options de montage spécifiques au protocole, y compris les paramètres de sécurité. Les systèmes de fichiers montés par l'intermédiaire de l'Automounter sont accessibles par défaut à tous les utilisateurs, mais peuvent être restreints par des options d'autorisation d'accès. 
 + 
 +Comme l'Automounter est une configuration côté client qui utilise les commandes standard **mount** et **umount** pour gérer les systèmes de fichiers, les systèmes de fichiers montés automatiquement présentent un comportement identique aux systèmes de fichiers montés à l'aide du fichier **/etc/fstab**. 
 + 
 +La différence est qu'un système de fichiers Automounter reste démonté jusqu'à ce que l'on accède au point de montage, ce qui entraîne le montage immédiat du système de fichiers, qui reste monté tant que le système de fichiers est en cours d'utilisation. Lorsque tous les fichiers du système de sont fermés et que tous les utilisateurs et processus quittent le répertoire du point de montage, Automounter démonte le système de fichiers après un délai minimal. 
 + 
 +====3.1 - Création d'un Fichier de Mappage Indirect==== 
 + 
 +On parle de montage indirect lorsque l'emplacement du point de montage n'est pas connu tant que la demande de montage n'a pas eu lieu. Un exemple de montage indirect est la configuration des répertoires personnels montés à distance, où le répertoire personnel d'un utilisateur inclut son nom d'utilisateur dans le chemin d'accès au répertoire. Le système de fichiers distant de l'utilisateur est monté sur son répertoire personnel, uniquement après qu'Automounter a appris quel utilisateur a spécifié de monter son répertoire personnel, et qu'il a déterminé que le système de fichiers distant est monté sur son répertoire personnel. Bien que des points de montage indirects semblent exister, le service autofs les crée lorsque la demande de montage se produit et les supprime à nouveau lorsque la demande est terminée et que le système de fichiers est démonté. 
 + 
 +===Configuration du Serveur=== 
 + 
 +Editez le fichier **/etc/exports** : 
 + 
 +<code> 
 +[root@testvm2 ~]# vi /etc/exports 
 + 
 +[root@testvm2 ~]# cat /etc/exports 
 +/mountpoint     192.168.56.0/24(rw)     2001:db8::/32(rw) 
 +/home           192.168.56.0/24(rw)     2001:db8::/32(rw) 
 +</code> 
 + 
 +Redémarrez le service **nfs-server** : 
 + 
 +<code> 
 +[root@testvm2 ~]# systemctl restart nfs-server
 </code> </code>
  
-Pour supprimer l'interface ip_fixe à la zone work, utilisez la commande suivante :+Devenez l'utilisateur **trainee** et créez le fichier **test4.txt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-interface=ip_fixe +[root@testvm2 ~]# su trainee 
-success+Last login: Tue Oct 29 13:56:07 CET 2024 on ttyS0
  
-[root@centos8 ~]# firewall-cmd --get-active-zones +[trainee@testvm2 ~]$ touch test4.txt
-libvirt +
-  interfaces: virbr0 +
-work +
-  interfaces: ens18+
 </code> </code>
  
-Pour ajouter le service **http** à la zone **work**, utilisez la commande suivante :+===Configuration du Client=== 
 + 
 +Déconnectez-vous de la machine virtuelle **testvm2** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-service=http +[root@testvm2 ~]# [CTRL]+[VERR MAJ]+[5] 
-success+[root@redhat9 ~]#  
 +</code>
  
-[root@centos8 ~]# firewall-cmd --zone=work --list-services +Connectez-vous à la machine virtuelle **testvm1** : 
-cockpit dhcpv6-client http ssh+ 
 +<code> 
 +[root@redhat9 ~]# virsh console testvm1 
 +Connected to domain 'testvm1' 
 +Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm1 /]#
 </code> </code>
  
-Pour supprimer le service **http** de la zone **work**, utilisez la commande suivante :+Configurez SELinux en mode **permissive**
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-service=http +[root@testvm1 /]# setenforce permissive 
-success+</code>
  
-[root@centos8 ~]# firewall-cmd --zone=work --list-services +Arrêtez le service **firewalld** : 
-cockpit dhcpv6-client ssh+ 
 +<code> 
 +[root@testvm1 /]# systemctl stop firewalld
 </code> </code>
  
-Pour ajouter un nouveau bloc ICMP, utilisez la commande suivante :+Installez le paquet **autofs** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply +[root@testvm1 /]# dnf install autofs -y 
-success+</code> 
 + 
 +Créez ensuite le fichier de mappage indirect maître **/etc/auto.master.d/home.autofs** : 
 + 
 +<code> 
 +[root@testvm1 /]# vi /etc/auto.master.d/home.autofs
  
-[root@centos8 ~]# firewall-cmd --zone=work --list-icmp-blocks +[root@testvm1 /]# cat /etc/auto.master.d/home.autofs  
-echo-reply+/home   /etc/auto.home
 </code> </code>
  
-Pour supprimer un bloc ICMP, utilisez la commande suivante :+Créez le fichier de mappage **/etc/auto.home** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply +[root@testvm1 /]# vi /etc/auto.home
-success+
  
-[root@centos8 ~]# firewall-cmd --zone=work --list-icmp-blocks+[root@testvm1 /]# cat /etc/auto.home 
 +*       -fstype=nfs4,rw,sync    192.168.56.100:/home/& 
 +</code> 
 + 
 +<WRAP center round important 60%> 
 +**Important** : Notez que le format du nom du fichier de mappage maître est **nom**.autofs et que le format du nom du fichier de mappage est auto.**nom**. Les deux valeurs de **nom** doivent être identique. 
 +</WRAP> 
 + 
 +Afin d'éviter des erreurs liées à la non-implémentation de **sss**, supprimer **sss** de la ligne **automount** du fichier **/etc/nsswitch.conf** : 
 + 
 +<code> 
 +[root@testvm1 /]# vi /etc/nsswitch.conf
  
-[root@centos8 ~]#+[root@testvm1 /]# cat /etc/nsswitch.conf 
 +... 
 +# In order of likelihood of use to accelerate lookup. 
 +passwd:     sss files systemd 
 +shadow:     files 
 +group:      sss files systemd 
 +hosts:      files dns myhostname 
 +services:   files sss 
 +netgroup:   sss 
 +automount:  files 
 +...
 </code> </code>
  
-Pour ajouter le port 591/tcp à la zone work, utilisez la commande suivante :+Activez et démarrez le service **autofs** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --add-port=591/tcp +[root@testvm1 /]# systemctl enable --now autofs
-success+
  
-[root@centos8 ~]# firewall-cmd --zone=work --list-ports +[root@testvm1 /]# systemctl status autofs 
-591/tcp+● autofs.service Automounts filesystems on demand 
 +     Loaded: loaded (/usr/lib/systemd/system/autofs.service; enabled; preset: d> 
 +     Active: active (running) since Tue 2024-10-29 13:55:10 CET; 19min ago 
 +   Main PID: 3425 (automount) 
 +      Tasks: 7 (limit: 23172) 
 +     Memory: 6.1M 
 +        CPU: 68ms 
 +     CGroup: /system.slice/autofs.service 
 +             └─3425 /usr/sbin/automount --systemd-service --dont-check-daemon 
 + 
 +oct. 29 13:55:10 testvm1.ittraining.loc systemd[1]: Starting Automounts filesys> 
 +oct. 29 13:55:10 testvm1.ittraining.loc systemd[1]: Started Automounts filesyst>
 </code> </code>
  
-Pour supprimer le port 591/tcp à la zone work, utilisez la commande suivante :+Vérifiez la prise en compte de la configuration :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --remove-port=591/tcp +[root@testvm1 /]# mount | tail 
-success+none on /run/credentials/systemd-tmpfiles-setup-dev.service type ramfs (ro,nosuid,nodev,noexec,relatime,seclabel,mode=700) 
 +fusectl on /sys/fs/fuse/connections type fusectl (rw,nosuid,nodev,noexec,relatime) 
 +/dev/vda1 on /boot type xfs (rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota) 
 +none on /run/credentials/systemd-tmpfiles-setup.service type ramfs (ro,nosuid,nodev,noexec,relatime,seclabel,mode=700) 
 +sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime) 
 +192.168.56.100:/mountpoint on /mnt type nfs4 (rw,relatime,sync,vers=4.2,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.56.50,local_lock=none,addr=192.168.56.100) 
 +tmpfs on /run/user/0 type tmpfs (rw,nosuid,nodev,relatime,seclabel,size=164980k,nr_inodes=41245,mode=700,inode64) 
 +/etc/auto.misc on /misc type autofs (rw,relatime,fd=6,pgrp=3425,timeout=300,minproto=5,maxproto=5,indirect,pipe_ino=35290) 
 +-hosts on /net type autofs (rw,relatime,fd=9,pgrp=3425,timeout=300,minproto=5,maxproto=5,indirect,pipe_ino=33681) 
 +/etc/auto.home on /home type autofs (rw,relatime,fd=12,pgrp=3425,timeout=300,minproto=5,maxproto=5,indirect,pipe_ino=35294) 
 +</code>
  
-[root@centos8 ~]# firewall-cmd --zone=work --list-ports+Devenez l'utilisateur **trainee** :
  
-[root@centos8 ~]#+<code> 
 +[root@testvm1 /]# su - trainee 
 +Dernière connexion : mardi 29 octobre 2024 à 13:55:17 CET sur ttyS0
 </code> </code>
  
-Pour créer un nouveau service, il convient de :+Exécutez la commande **ls**. Vous devez voir le fichier **test4.txt** qui a été créé dans la machine virtuelle **testvm2** :
  
-  * copier un fichier existant se trouvant dans le répertoire **/usr/lib/firewalld/services** vers **/etc/firewalld/services**, +<code> 
-  * modifier le fichier, +[trainee@testvm1 ~]$ ls 
-  * recharger la configuration de firewalld, +test4.txt
-  * vérifier que firewalld voit le nouveau service.+
  
-Par exemple :+[trainee@testvm1 ~]$ exit 
 +</code> 
 + 
 +Déconnectez-vous de la machine virtuelle **testvm1** :
  
 <code> <code>
-[root@centos8 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml+[root@testvm1 /]# [CTRL]+[VERR MAJ]+[5] 
 +[root@redhat9 ~]#  
 +</code>
  
-[root@centos8 ~]# vi /etc/firewalld/services/filemaker.xml+Connectez-vous à la machine virtuelle **testvm2** :
  
-[root@centos8 ~]# cat /etc/firewalld/services/filemaker.xml +<code> 
-<?xml version="1.0" encoding="utf-8"?> +[root@redhat9 ~]# virsh console testvm2 
-<service> +Connected to domain 'testvm2' 
-  <short>FileMakerPro</short+Escape character is ^] (Ctrl + ]) 
-  <description>fichier de service firewalld pour FileMaker Pro</description> +[Enter] 
-  <port protocol="tcp" port="591"/> +[root@testvm2 ~]# 
-</service>+</code
 + 
 +Devenez l'utilisateur **trainee** et créez le fichier **test5.txt** : 
 + 
 +<code> 
 +[root@testvm2 ~]# su - trainee 
 +Last login: Tue Oct 29 13:56:07 CET 2024 on ttyS0
  
-[root@centos8 ~]# firewall-cmd --reload +[trainee@testvm2 ~]$ touch test5.txt
-success+
  
-[root@centos8 ~]# firewall-cmd --get-services +[trainee@testvm2 ~]$ ls 
-RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server filemaker finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server+test4.txt  test5.txt
 </code> </code>
  
-===La Configuration Avancée de firewalld===+Déconnectez-vous de la machine virtuelle **testvm2** :
  
-La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependant firewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**. +<code> 
 +[root@testvm2 ~]# [CTRL]+[VERR MAJ]+[5] 
 +[root@redhat9 ~]#  
 +</code>
  
-Les **Critères** sont :+Connectez-vous à la machine virtuelle **testvm1** :
  
-  * **source address="<adresse_IP>"** +<code
-  * **destination address="<adresse_IP>"**, +[root@redhat9 ~]# virsh console testvm1 
-  * **rule port port="<numéro_du_port>"**, +Connected to domain 'testvm1' 
-  * **service name=<nom_d'un_sevice_prédéfini>**.+Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm1 /]# 
 +</code>
  
-Les **Actions** sont :+Devenez l'utilisateur **trainee** et exécutez la commande **ls**. Vous devez voir le fichier **test5.txt** qui a été créé dans la machine virtuelle **testvm2** : 
  
-  * **accept**, +<code
-  * **reject**, +[trainee@testvm1 ~]$ ls 
-    * une Action reject peut être associée avec un message d'erreur spécifique par la clause **type="<type_d'erreur>**, +test4.txt  test5.txt
-  * **drop**.+
  
-Saisissez la commande suivante pour ouvrir le port 80 :+[trainee@testvm1 ~]$ exit 
 +</code> 
 + 
 +====3.2 - Création d'un Fichier de Mappage Direct==== 
 + 
 +On parle de montage direct lorsqu'un système de fichiers est monté sur un point de montage immuable et connu. Un point de montage direct existe en tant que répertoire permanent, comme les autres répertoires normaux. 
 + 
 +Déconnectez-vous de la machine virtuelle **testvm1** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' +[root@testvm1 /]# [CTRL]+[VERR MAJ]+[5] 
-success+[root@redhat9 ~]# 
 </code> </code>
  
-<WRAP center round important 50%> +Connectez-vous à la machine virtuelle **testvm2** :
-**Important** Notez que la Rich Rule doit être entourée de caractères **'**.  +
-</WRAP>+
  
-<WRAP center round important 50%+<code
-**Important** - Notez que la Rich Rule a créé deux règles, une pour IPv4 et une deuxième pour IPv6. Une règle peut être créée pour IPv4 seul en incluant le Critère **family=ipv4**. De la même façon, une règle peut être créée pour IPv6 seul en incluant le Critère **family=ipv6**. +[root@redhat9 ~]# virsh console testvm2 
-</WRAP>+Connected to domain 'testvm2' 
 +Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm2 ~]# 
 +</code>
  
-Cette nouvelle règle est écrite en mémoire mais non pas sur disque. Pour l'écrire sur disque dans le fichier zone se trouvant dans **/etc/firewalld**, il faut ajouter l'option **--permanent** :+===Configuration du Serveur=== 
 + 
 +Éditez le fichier **/etc/exports** en y ajoutant la ligne **/mountpoint1    192.168.56.0/24(rw)     2001:db8::/32(rw)** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent +[root@testvm2 ~]# vi /etc/exports
-success+
  
-[root@centos8 ~]# cat /etc/firewalld/zones/work.xml +[root@testvm2 ~]# cat /etc/exports 
-<?xml version="1.0" encoding="utf-8"?> +/mountpoint     192.168.56.0/24(rw)     2001:db8::/32(rw) 
-<zone> +/home           192.168.56.0/24(rw)     2001:db8::/32(rw) 
-  <short>Work</short> +/mountpoint1    192.168.56.0/24(rw)     2001:db8::/32(rw)
-  <description>For use in work areasYou mostly trust the other computers on networks to not harm your computerOnly selected incoming connections are accepted.</description> +
-  <service name="ssh"/> +
-  <service name="dhcpv6-client"/+
-  <service name="cockpit"/> +
-  <rule> +
-    <port port="80" protocol="tcp"/+
-    <accept/> +
-  </rule> +
-</zone>+
 </code> </code>
  
-<WRAP center round important 50%> +Redémarrez le service **nfs-server** :
-**Important** - Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent. +
-</WRAP>+
  
-Redémarrez le service **firewalld** :+<code> 
 +[root@testvm2 ~]# systemctl restart nfs-server 
 +</code> 
 + 
 +Créez le répertoire **/mountpoint1** et modifiez les permissions :
  
 <code> <code>
-[root@centos8 ~]# systemctl restart firewalld.service+[root@testvm2 ~]# mkdir /mountpoint1 
 + 
 +[root@testvm2 ~]# chmod 777 /mountpoint1
 </code> </code>
  
-Pour visualiser cette règle dans la configuration de firewalld, il convient de saisir la commande suivante :+===Configuration du Client=== 
 + 
 +Déconnectez-vous de la machine virtuelle **testvm2** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=work --list-all +[root@testvm2 ~]# [CTRL]+[VERR MAJ]+[5] 
-work (active) +[root@redhat9 ~]# 
-  target: default +
-  icmp-block-inversion: no +
-  interfaces: ens18 +
-  sources:  +
-  services: cockpit dhcpv6-client ssh +
-  ports:  +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-        rule port port="80" protocol="tcp" accept+
 </code> </code>
  
-Notez que la Rich Rule est créée dans la Zone par Défaut. Il est possible de créer une Rich Rule dans une autre zone en utilisant l'option **--zone=<zone>** de la commande firewall-cmd :+Connectez-vous à la machine virtuelle **testvm1** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept+[root@redhat9 ~]# virsh console testvm1 
-success+Connected to domain 'testvm1
 +Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm1 /]# 
 +</code> 
 + 
 +Créez le fichier de mappage direct maître **/etc/auto.master.d/mountpoint1.autofs** : 
 + 
 +<code> 
 +[root@testvm1 /]# vi /etc/auto.master.d/mountpoint1.autofs
  
-[root@centos8 ~]# firewall-cmd --zone=public --list-all +[root@testvm1 /]# cat /etc/auto.master.d/mountpoint1.autofs 
-public +/     /etc/auto.mountpoint1
-  target: default +
-  icmp-block-inversion: no +
-  interfaces:  +
-  sources:  +
-  services: cockpit dhcpv6-client ssh +
-  ports: 5901/tcp +
-  protocols:  +
-  forward: no +
-  masquerade: no +
-  forward-ports:  +
-  source-ports:  +
-  icmp-blocks:  +
-  rich rules:  +
-        rule port port="80" protocol="tcp" accept+
 </code> </code>
  
 +Créez le fichier de mappage **/etc/auto.mountpoint1** :
  
-Pour supprimer une Rich Ruleil faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** :+<code> 
 +[root@testvm1 /]# vi /etc/auto.mountpoint1 
 + 
 +[root@testvm1 /]# cat /etc/auto.mountpoint1 
 +/mountpoint1    -fstype=nfs4,rw,sync    192.168.56.100:/mountpoint1 
 +</code> 
 + 
 +Redémarrez le service **autofs** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept' +[root@testvm1 /]# systemctl restart autofs 
-success+ 
 +[root@testvm1 /]# systemctl status autofs 
 +● autofs.service Automounts filesystems on demand 
 +     Loaded: loaded (/usr/lib/systemd/system/autofs.service; enabled; preset: d> 
 +     Active: active (running) since Tue 2024-10-29 14:40:16 CET; 8s ago 
 +   Main PID: 3612 (automount) 
 +      Tasks: 8 (limit: 23172) 
 +     Memory: 5.9M 
 +        CPU: 29ms 
 +     CGroup: /system.slice/autofs.service 
 +             └─3612 /usr/sbin/automount --systemd-service --dont-check-daemon 
 + 
 +oct. 29 14:40:16 testvm1.ittraining.loc systemd[1]: Starting Automounts filesys> 
 +oct. 29 14:40:16 testvm1.ittraining.loc systemd[1]: Started Automounts filesyst>
 </code> </code>
  
-===Le mode Panic de firewalld===+Vérifiez la pris en compte de la configuration :
  
-Le mode Panic de firewalld permet de bloquer tout le trafic avec une seule commandePour connaître l'état du mode Panicutilisez la commande suivante :+<code> 
 +[root@testvm1 /]# mount | tail 
 +fusectl on /sys/fs/fuse/connections type fusectl (rw,nosuid,nodev,noexec,relatime) 
 +/dev/vda1 on /boot type xfs (rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota) 
 +none on /run/credentials/systemd-tmpfiles-setup.service type ramfs (ro,nosuid,nodev,noexec,relatime,seclabel,mode=700) 
 +sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime) 
 +192.168.56.100:/mountpoint on /mnt type nfs4 (rw,relatime,sync,vers=4.2,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.56.50,local_lock=none,addr=192.168.56.100) 
 +tmpfs on /run/user/0 type tmpfs (rw,nosuid,nodev,relatime,seclabel,size=164980k,nr_inodes=41245,mode=700,inode64) 
 +/etc/auto.misc on /misc type autofs (rw,relatime,fd=6,pgrp=3612,timeout=300,minproto=5,maxproto=5,indirect,pipe_ino=34473) 
 +-hosts on /net type autofs (rw,relatime,fd=9,pgrp=3612,timeout=300,minproto=5,maxproto=5,indirect,pipe_ino=34474) 
 +/etc/auto.home on /home type autofs (rw,relatime,fd=12,pgrp=3612,timeout=300,minproto=5,maxproto=5,indirect,pipe_ino=34475) 
 +/etc/auto.mountpoint1 on /mountpoint1 type autofs (rw,relatime,fd=15,pgrp=3612,timeout=300,minproto=5,maxproto=5,direct,pipe_ino=35368) 
 +</code> 
 + 
 +Créez le fichier **/mountpoint1/test6.txt** :
  
 <code> <code>
-[root@centos8 ~]# firewall-cmd --query-panic +[root@testvm1 /]# touch /mountpoint1/test6.txt 
-no+ 
 +[root@testvm1 /]# ls /mountpoint1/ 
 +test6.txt
 </code> </code>
  
-Pour activer le mode Panic, il convient de saisir la commande suivante :+Déconnectez-vous de la machine virtuelle **testvm1** :
  
 <code> <code>
-firewall-cmd --panic-on+[root@testvm1 /]# [CTRL]+[VERR MAJ]+[5] 
 +[root@redhat9 ~]
 </code> </code>
  
-Pour désactiver le mode Panic, il convient de saisir la commande suivante :+Connectez-vous à la machine virtuelle **testvm2** :
  
 <code> <code>
-firewall-cmd --panic-off+[root@redhat9 ~]# virsh console testvm2 
 +Connected to domain 'testvm2' 
 +Escape character is ^] (Ctrl + ]) 
 +[Enter] 
 +[root@testvm2 ~]#
 </code> </code>
  
------ +Consultez ls contenu du répertoire **/mountpoint1** vous devez voir le fichier **test6.txt** :
-Copyright © 2024 Hugh Norris.+
  
 +<code>
 +[root@testvm2 ~]# ls -l /mountpoint1
 +total 0
 +-rw-r--r--. 1 nobody nobody 0 Oct 29 14:43 test6.txt
 +</code>
 +
 +Déconnectez-vous de la machine virtuelle **testvm2** :
 +
 +<code>
 +[root@testvm2 ~]# [CTRL]+[VERR MAJ]+[5]
 +[root@redhat9 ~]# 
 +</code>
 +
 +-----
 +Copyright © 2024 Hugh Norris

Piste : LDF700 - Présentation de la Formation LCF604 - Présentation, Installation et Configuration de KVM LRF800 - Cursus - Certification Red Hat : RH124 et RH134 LCF603 - Gestion du Réseau lu0105 LDF200 - Debian 8 Linux : Technician VMW004 -VMWARE ‐ VSPHERE : Optimisation et évolutivité LCF512 - Gestion du Noyau et des Quotas LRF409 - Serveur Proxy LRF408 - Sécurité Applicative

Menu