Portmapper назначает каждому NFS сервису динамический порт во время каждой загрузки системы. Каким образом можно разрешить доступ к NFS серверу с помощью iptables в RHEL / Fedora / CentOS Linux ?

Вам необходимо открыть следующие порты:

a] TCP/UDP 111 - RPC 4.0 portmapper

b] TCP/UDP 2049 - NFSD (nfs сервер)

c] Статические порты Portmap  - различные TCP/UDP порты, определенные в файле /etc/sysconfig/nfs. Об этом подробнее будет рассказано ниже.

Настраиваем NFS сервисы на использование фиксированных портов

Основной проблемой и причиной написания данной статьи является то, что portmapper во время каждой загрузки назначает каждому сервису динамический порт, что затрудняет использование межсетевого экрана. Поэтому первое, что нам необходимо сделать, это сконфигурировать NFS на использование фиксированных портов. Откройте файл  /etc/sysconfig/nfs, набрав:

# vi /etc/sysconfig/nfs

Нам необходимо модифицировать следующие директивы:

LOCKD_TCPPORT=lockd-port-number
LOCKD_UDPPORT=lockd-port-number
MOUNTD_PORT=mountd-port-number
RQUOTAD_PORT=rquotad-port-number
STATD_PORT=statd-port-number
STATD_OUTGOING_PORT=statd-outgoing-port-numbe

Ниже я привожу пример из своего конфига:

LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
RQUOTAD_PORT=875
STATD_PORT=662
STATD_OUTGOING_PORT=2020

Сохраните и закройте файл. Перезапустите сервисы NFS и portmap:

# service portmap restart
# service nfs restart
# service rpcsvcgssd  restart

Обновляем файл /etc/sysconfig/iptables

Откройте файл /etc/sysconfig/iptables:

# vi /etc/sysconfig/iptables

Добавьте следующие строчки:

-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 32769 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 32769 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 662 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 662 -j ACCEPT

Сохраните и закройте файл. Замените подсеть 192.168.1.0/24 на адрес вашей внутренней сети. В качестве портов используйте те, которые вы указали в файле /etc/sysconfig/nfs.

Перезапустите iptables:

# service iptables restart

Постовой

В компании  "Мастер Хольц" вы можете купить отличные деревянные окна со стеклопакетом по выгодным ценам. Огромный ассортимент изделий.

Выполняем качественный ландшафтный дизайн. Вы будете поражены преображению вашего сада или дачного участка, выполненному нашими специалистами.

]]> ]]>