Как настроить Linux iptables для серверов NFS на Cent OS Fedora Linux Ubuntu Debian Redhat
Предварительная настройка NFS
Чтобы позволить клиентам NFS обращаться к серверам NFS, нам необходимо включить следующие службы.
a] TCP / UDP 111 – RPC 4.0 portmapper
b] TCP / UDP 2049 – NFSD (сервер nfs)
c] Статические порты Portmap – Динамические порты, определенные в файле / etc / sysconfig / nfs.
Port Mapper назначает каждую службу NFS порту динамически при запуске службы.
Динамические порты не могут быть защищены фильтрами портов, такими как iptables.
Поэтому нам нужно настроить статические порты для службы карт портов
Измените /etc/sysconfig/nfs и добавьте следующие строки
# vim /etc/sysconfig/nfs
RQUOTAD_PORT=875 LOCKD_TCPPORT=32803 LOCKD_UDPPORT=32769 MOUNTD_PORT=892 STATD_PORT=662 STATD_OUTGOING_PORT=2020
Сохраните файл и перезапустите службу.
# service portmap restart # service nfs restart # service rpcsvcgssd restart
Iptables для NFS
Конфигурация IP-таблиц для nfs
Выполните следующие команды в Linux Shell.
iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p udp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 2049 -j ACCEPT iptables -A INPUT -p tcp --dport 662 -j ACCEPT iptables -A INPUT -p udp --dport 662 -j ACCEPT iptables -A INPUT -p tcp --dport 875 -j ACCEPT iptables -A INPUT -p udp --dport 875 -j ACCEPT iptables -A INPUT -p tcp --dport 892 -j ACCEPT iptables -A INPUT -p udp --dport 892 -j ACCEPT iptables -A INPUT -p tcp --dport 32803 -j ACCEPT iptables -A INPUT -p udp --dport 32769 -j ACCEPT
Теперь сохраните и перезапустите iptables
# iptables-save > /etc/sysconfig/iptables или #service iptables save #service iptables restart
Также, вы можете вручную редактировать и /etc/sysconfig/iptables и добавить приведенную ниже строку
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p udp -m udp --dport 111 -j ACCEPT -A INPUT -p tcp -m tcp --dport 662 -j ACCEPT -A INPUT -p udp -m udp --dport 662 -j ACCEPT -A INPUT -p tcp -m tcp --dport 875 -j ACCEPT -A INPUT -p udp -m udp --dport 875 -j ACCEPT -A INPUT -p tcp -m tcp --dport 892 -j ACCEPT -A INPUT -p udp -m udp --dport 892 -j ACCEPT -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT -A INPUT -p tcp -m tcp --dport 32803 -j ACCEPT -A INPUT -p udp -m udp --dport 32769 -j ACCEPT
Сохраните файл и перезапустите службу.
# service iptables restart
Ошибка в итоговых правилах iptables, указан порт 110 , это порт pop3 , никакого отношения к nfs он не имеет. Возможно имелся ввиду порт 111 (rpcbind)?
Спасибо – поправили 🙂