Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Разрешаем клиентам NFS доступ к NFS серверу используя Iptables

Рубрика: Fedora -> RHEL, CentOS
Метки: | | |
Среда, 11 марта 2009 г.
Просмотров: 25015
Подписаться на комментарии по RSS


Portmapper назначает каждому NFS сервису динамический порт во время каждой загрузки системы. Каким образом можно разрешить доступ к NFS серверу с помощью iptables в RHEL / Fedora / CentOS Linux ?

Вам необходимо открыть следующие порты:

a] TCP/UDP 111 - RPC 4.0 portmapper

b] TCP/UDP 2049 - NFSD (nfs сервер)

c] Статические порты Portmap  - различные TCP/UDP порты, определенные в файле /etc/sysconfig/nfs. Об этом подробнее будет рассказано ниже.

Настраиваем NFS сервисы на использование фиксированных портов

Основной проблемой и причиной написания данной статьи является то, что portmapper во время каждой загрузки назначает каждому сервису динамический порт, что затрудняет использование межсетевого экрана. Поэтому первое, что нам необходимо сделать, это сконфигурировать NFS на использование фиксированных портов. Откройте файл  /etc/sysconfig/nfs, набрав:

<code># vi /etc/sysconfig/nfs</code>

Нам необходимо модифицировать следующие директивы:

<span style="color: #000099;">LOCKD_TCPPORT</span>=<span style="color: #660066;">lockd-port-number</span>
<span style="color: #000099;">LOCKD_UDPPORT</span>=<span style="color: #660066;">lockd-port-number</span>
<span style="color: #000099;">MOUNTD_PORT</span>=<span style="color: #660066;">mountd-port-number</span>
<span style="color: #000099;">RQUOTAD_PORT</span>=<span style="color: #660066;">rquotad-port-number</span>
<span style="color: #000099;">STATD_PORT</span>=<span style="color: #660066;">statd-port-number</span>
<span style="color: #000099;">STATD_OUTGOING_PORT</span>=<span style="color: #660066;">statd-outgoing-port-numbe</span>

Ниже я привожу пример из своего конфига:

<span style="color: #000099;">LOCKD_TCPPORT</span>=<span style="color: #660066;"><span>32803</span></span>
<span style="color: #000099;">LOCKD_UDPPORT</span>=<span style="color: #660066;"><span>32769</span></span>
<span style="color: #000099;">MOUNTD_PORT</span>=<span style="color: #660066;"><span>892</span></span>
<span style="color: #000099;">RQUOTAD_PORT</span>=<span style="color: #660066;"><span>875</span></span>
<span style="color: #000099;">STATD_PORT</span>=<span style="color: #660066;"><span>662</span></span>
<span style="color: #000099;">STATD_OUTGOING_PORT</span>=<span style="color: #660066;"><span>2020</span></span>

Сохраните и закройте файл. Перезапустите сервисы NFS и portmap:

<code># service portmap restart
# service nfs restart
# service rpcsvcgssd  restart</code>

Обновляем файл /etc/sysconfig/iptables

Откройте файл /etc/sysconfig/iptables:

<code># vi /etc/sysconfig/iptables</code>

Добавьте следующие строчки:

-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 32769 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 32769 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 662 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 662 -j ACCEPT

Сохраните и закройте файл. Замените подсеть 192.168.1.0/24 на адрес вашей внутренней сети. В качестве портов используйте те, которые вы указали в файле /etc/sysconfig/nfs.

Перезапустите iptables:

<code># service iptables restart</code>

Постовой

В компании  "Мастер Хольц" вы можете купить отличные деревянные окна со стеклопакетом по выгодным ценам. Огромный ассортимент изделий.

Выполняем качественный ландшафтный дизайн. Вы будете поражены преображению вашего сада или дачного участка, выполненному нашими специалистами.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)