Разрешаем клиентам NFS доступ к NFS серверу используя Iptables
Метки: firewall | iptables | Linux | nfs
Среда, 11 марта 2009 г.
Просмотров: 25015
Подписаться на комментарии по RSS
Portmapper назначает каждому NFS сервису динамический порт во время каждой загрузки системы. Каким образом можно разрешить доступ к NFS серверу с помощью iptables в RHEL / Fedora / CentOS Linux ?
Вам необходимо открыть следующие порты:
a] TCP/UDP 111 - RPC 4.0 portmapper
b] TCP/UDP 2049 - NFSD (nfs сервер)
c] Статические порты Portmap - различные TCP/UDP порты, определенные в файле /etc/sysconfig/nfs. Об этом подробнее будет рассказано ниже.
Настраиваем NFS сервисы на использование фиксированных портов
Основной проблемой и причиной написания данной статьи является то, что portmapper во время каждой загрузки назначает каждому сервису динамический порт, что затрудняет использование межсетевого экрана. Поэтому первое, что нам необходимо сделать, это сконфигурировать NFS на использование фиксированных портов. Откройте файл /etc/sysconfig/nfs, набрав:
<code># vi /etc/sysconfig/nfs</code>
Нам необходимо модифицировать следующие директивы:
<span style="color: #000099;">LOCKD_TCPPORT</span>=<span style="color: #660066;">lockd-port-number</span> <span style="color: #000099;">LOCKD_UDPPORT</span>=<span style="color: #660066;">lockd-port-number</span> <span style="color: #000099;">MOUNTD_PORT</span>=<span style="color: #660066;">mountd-port-number</span> <span style="color: #000099;">RQUOTAD_PORT</span>=<span style="color: #660066;">rquotad-port-number</span> <span style="color: #000099;">STATD_PORT</span>=<span style="color: #660066;">statd-port-number</span> <span style="color: #000099;">STATD_OUTGOING_PORT</span>=<span style="color: #660066;">statd-outgoing-port-numbe</span>
Ниже я привожу пример из своего конфига:
<span style="color: #000099;">LOCKD_TCPPORT</span>=<span style="color: #660066;"><span>32803</span></span> <span style="color: #000099;">LOCKD_UDPPORT</span>=<span style="color: #660066;"><span>32769</span></span> <span style="color: #000099;">MOUNTD_PORT</span>=<span style="color: #660066;"><span>892</span></span> <span style="color: #000099;">RQUOTAD_PORT</span>=<span style="color: #660066;"><span>875</span></span> <span style="color: #000099;">STATD_PORT</span>=<span style="color: #660066;"><span>662</span></span> <span style="color: #000099;">STATD_OUTGOING_PORT</span>=<span style="color: #660066;"><span>2020</span></span>
Сохраните и закройте файл. Перезапустите сервисы NFS и portmap:
<code># service portmap restart # service nfs restart # service rpcsvcgssd restart</code>
Обновляем файл /etc/sysconfig/iptables
Откройте файл /etc/sysconfig/iptables:
<code># vi /etc/sysconfig/iptables</code>
Добавьте следующие строчки:
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 111 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 111 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 2049 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 32769 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 32769 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 892 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 892 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 875 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 875 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 662 -j ACCEPT -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 662 -j ACCEPT
Сохраните и закройте файл. Замените подсеть 192.168.1.0/24 на адрес вашей внутренней сети. В качестве портов используйте те, которые вы указали в файле /etc/sysconfig/nfs.
Перезапустите iptables:
<code># service iptables restart</code>
Постовой
В компании "Мастер Хольц" вы можете купить отличные деревянные окна со стеклопакетом по выгодным ценам. Огромный ассортимент изделий.
Выполняем качественный ландшафтный дизайн. Вы будете поражены преображению вашего сада или дачного участка, выполненному нашими специалистами.
Еще записи по теме
- Балансировка Exchange 2010 с помощью Centos 5 и Linux Virtual Server, часть 7
- Установка Xen в CentOS 5.0 (i386)
- iRedMail: Установка полноценного почтового сервера с LDAP, Postfix, RoundCube, Dovecot, ClamAV, DKIM, SPF в CentOS 5.x, часть 1
- Как установить Windows в Xen под управление Centos5
- LDAP аутентификация в RHEL/CentOS 5
- Управляем OpenVZ c помощью Vtonf в Centos 5.2
- Балансировка Exchange 2010 с помощью Centos 5 и Linux Virtual Server, часть 1
Оставьте комментарий!