1. дома
  2. Вопрос и ответ
  3. Правила Iptables для NFS-сервера и клиента NFS

Правила Iptables для NFS-сервера и клиента NFS

2014-10-03 2 views
3

Без правил iptables Я могу смонтировать мой NFSSERVER:/PATH, но с ним (firewall/iptables) включен. Я не могу подключиться.Правила Iptables для NFS-сервера и клиента NFS

[.e.g., after iptables --flush/ firewaalld stop ; mount NFSSERVER:/Path works ]

Я не должен отключить/очистить firewall/iptables, но мне разрешили открыть порт. Какое правило я должен добавить, чтобы открыть порт/mount?

Текущая политика по умолчанию DROP all INCOMING/OUTGOING/FORWARD и есть несколько правил, чтобы Wget от внешнего 80 порта и т.д.,

добавлением порта не помог NFS-сервер.

iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -p tcp --sport 2049 -m state --state ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p udp --dport 2049 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -p udp --sport 2049 -m state --state ESTABLISHED -j ACCEPT

Спасибо.

PS: Это для nfs клиент не NFS серверный компьютер.

источник

2014-10-03 resultsway

+1

Это не работает, поскольку 'nfsd' не является единственным демоном, требующим доступа к сети. Другие демоны, участвующие в 'NFS', это' portmap', 'statd',' mountd', 'lockd' и' rquotad'. См. [This] (http://tldp.org/HOWTO/NFS-HOWTO/security.html#FIREWALLS) и [это] (http://rlworkman.net/howtos/NFS_Firewall_HOWTO), например. – Yoel

ответ

6

NFS Server:

Настройка портов для rquotd (875/UDP; 875/TCP), lockd (32803/TCP; 32769/UDP), Mountd (892/UDP; 892/TCP), statd (10053/UDP; 10053/TCP), statd_outgoing (10054/UDP; 10054/TCP)

vim /etc/sysconfig/nfs

При желании, отключить NFS v3 и NFS v2 зоныСкидки на авиабилетыОтзывы путем редактирования линий 5 & 6/и т.д./sysconfig/NFS

MOUNTD_NFS_V2="no" 
    MOUNTD_NFS_V3="no"

Сохраните действующие правила Iptables для последующего использования. (Если Iptables сохранение отсутствует в вашем дистрибутиве, то вы можете попробовать IPTables -S имя файла)

iptables-save > pre-nfs-firewall-rules-server

Flush и проверить Iptables правила

iptables -F 
    iptables -L

остановки и запуска NFS и связанные услуги в следующей последовательности

service rpcbind stop 
    service nfslock stop 
    service nfs stop 
    service rpcbind start 
    service nfslock start 
    service nfs start

Убедитесь, что сконфигурированная NFS и связанные с ней порты отображаются как указано ранее и отмечены номера портов и прокси-сервера 4 уровня OSI. Стандартными номерами портов для rpcbind (или portmapper) являются 111/udp, 111/tcp и nfs - 2049/udp, 2049/tcp.

rpcinfo -p | sort -k 3

Восстановление предварительные NFS-брандмауэр-правила теперь

iptables-restore < pre-nfs-firewall-rules-server

правила Запись Iptables для сервера NFS (Примечание: Loopback адаптер имеет разрешенным, иначе вы будете видеть пакеты упал, а также при перезагрузке nfs service, он будет плевать ОШИБКА {Начальные квоты NFS: Невозможно зарегистрировать услугу: RPC: Сроки: rpc.rquotad: не удалось зарегистрировать (RQUOTAPROG, RQUOTAVERS, udp). [FAILED]} для демона rquotad.Вы можете проверить это, добавив правило с целью LOG скачка в нижней части входного или выходного цепочек таблицы фильтров)

iptables -P INPUT DROP 
    iptables -P OUTPUT DROP 
    iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,111,2049,32769,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT 
    iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,111,2049,32803,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT 
    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,111,2049,32769,875,892 -m state --state ESTABLISHED -j ACCEPT 
    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,111,2049,32803,875,892 -m state --state ESTABLISHED -j ACCEPT 
    iptables -I INPUT -i lo -d 127.0.0.1 -j ACCEPT 
    iptables -I OUTPUT -o lo -s 127.0.0.1 -j ACCEPT 
    iptables -L -n --line-numbers

Настройка NFS экспорта Адресной книги

vim /etc/exports 
    exportfs -av 
    showmount -e 
    rpcinfo -p

остановки и запуска NFS и связанных с ними услуг в следующая последовательность

service rpcbind stop 
    service nfslock stop 
    service nfs stop 
    service rpcbind start 
    service nfslock start 
    service nfs start

NFS КЛИЕНТ:

Сохраните действующие правила Iptables для последующего использования. (Если Iptables сохранения отсутствует в вашем дистрибутиве, то вы можете попробовать IPTables -S имя файл)

iptables-save > pre-nfs-firewall-rules-client

Flush и проверить Iptables правило

iptables -F 
    iptables -L

Получит файрвол порты NFS-сервер с клиентской машины и notedown номера портов и прослойки слоя OSI 4.

rpcinfo -p 'ip-addr-nfs-server' | sort -k 3

Восстановление предварительные NFS-брандмауэр-правила теперь

iptables-restore < pre-nfs-firewall-rules-client

правила Запись Iptables для клиента NFS (Примечание: Loopback адаптер имеет разрешенным, иначе вы будете видеть пакеты упал, а также при перезагрузке nfs service, он будет плевать ОШИБКА {Начальные квоты NFS: Невозможно зарегистрировать обслуживание: RPC: Сроки: rpc.rquotad: не удалось зарегистрировать (RQUOTAPROG, RQUOTAVERS, udp). [FAILED]} для демона rquotad. это, добавив правило с целью перехода к LOG в нижней части INPUT или OUT PUT цепи таблицы фильтров)

iptables -P INPUT DROP 
    iptables -P OUTPUT DROP 
    iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,111,2049,32769,875,892 -m state --state ESTABLISHED -j ACCEPT 
    iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,111,2049,32803,875,892 -m state --state ESTABLISHED -j ACCEPT 
    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,111,2049,32769,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT 
    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,111,2049,32803,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT 
    iptables -I INPUT -i lo -d 127.0.0.1 -j ACCEPT 
    iptables -I OUTPUT -o lo -s 127.0.0.1 -j ACCEPT 
    iptables -L -n --line-numbers

остановки и запуска NFS и связанные с ним услуги в следующей последовательности

service rpcbind stop 
    service nfslock stop 
    service nfs stop 
    service rpcbind start 
    service nfslock start 
    service nfs start

экспорта сервера Список NFS

showmount -e 'ip-addr-nfs-server'

Mount NFS Exports вручную (постоянные крепления могут конфигурируется с использованием/etc/fstab)

mount -t nfs ip-addr-nfs-server:/exported-directory /mount-point -o rw,nfsvers=3 
    mount -t nfs ip-addr-nfs-server:/exported-directory /mount-point -o rw --> For NFS4 version

Настройка AutoFS, если автомонтирование является предпочтительным для экспорта Nfs и пользователей LDAP домашних каталогов (прямые и косвенные карты могут быть установлены)

vim /etc/auto.master -> specify the mount point and map-name (Eg: auto.nfs) 
    vim /etc/map-name 
    service autofs stop 
    service autofs start

Проверить установлен NFS Экспорт

df -h -F nfs 
    mount | grep nfs

Список всех псевдо корень NFS -v4 экспорт каталогов (NFS Ленивый монтаж)

ls /net/ip-addr-nfs-server

источник

2014-12-10 05:29:32 Sathish

4

Если все, что вам нужно это NFS версии 4 (который уже более 10 лет), вам не нужно идти на все усилия, описанные в ответе @ Сатиша. Просто убедитесь, что TCP-порт 2049 открыт для брандмауэра сервера и что брандмауэр клиента разрешает исходящий трафик на порт 2049 на сервере.

CentOS 5 (также старый) имеет приятный explanation, почему NFSv4 больше брандмауэров, чем v3 и v2.

источник

2016-03-03 19:13:58

+0

Это то, что я искал! Благодаря! –

Смежные вопросы

 Смежные вопросы