投稿
  1. 首页
  2. 系统运维

NFS服务器和NFS客户端的Iptables规则

搞定设计 2022-5-23 系统运维 阅读 64

NFS服务器和NFS客户端的Iptables规则,第1张

概述没有iptables规则我可以​​挂载我的NFSSERVER:/ PATH但启用它(防火墙/ iptables)我无法挂载. [.e.g., after iptables --flush/ firewaalld stop ; mount NFSSERVER:/Path works ] 我不应该禁用/清除防火墙/ iptables但我可以打开一个端口.打开端口/挂载需要添加的规则是什么? 当前的默认 没有iptables规则我可以​​挂载我的NFSSERVER:/ PATH但启用它(防火墙/ iptables)我无法挂载. 

[.e.g.,after iptables --flush/ firewaalld stop ; mount NFSSERVER:/Path works ]

我不应该禁用/清除防火墙/ iptables但我可以打开一个端口.打开端口/挂载需要添加的规则是什么?

当前的默认策略是DROP all INCOMING / OUTGOING / FORWARD,并且有一些规则允许wget来自外部80端口等,

添加NFS服务器端口没有帮助.

iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW,ESTABliSHED,RELATED -j ACCEPTiptables -A input -p tcp --sport 2049 -m state --state ESTABliSHED -j ACCEPTiptables -A OUTPUT -p udp --dport 2049 -m state --state NEW,RELATED -j ACCEPTiptables -A input -p udp --sport 2049 -m state --state ESTABliSHED -j ACCEPT

谢谢.

PS:这是针对nfs客户端而不是NFS服务器机器.

@R_404_6120@ NFS服务器:

为rquotd(875 / udp; 875 / tcp),lockd(32803 / tcp; 32769 / udp),mountd(892 / udp; 892 / tcp),statd(10053 / udp; 10053 / tcp),statd_outgoing(10054)配置端口/ udp; 10054 / tcp)

vim /etc/sysconfig/nfs

如果需要,可以通过编辑第5行和第5行来禁用NFS v3和NFS v2支持. / etc / sysconfig / nfs中的6个

MOUNTD_NFS_V2="no"    MOUNTD_NFS_V3="no"

保存当前的Iptables规则供以后使用. (如果你的发行版中没有iptables-save,你可以试试iptables -S filename)

iptables-save > pre-nfs-firewall-rules-server

刷新并检查Iptables规则

iptables -F    iptables -L

按以下顺序停止和启动NFS和相关服务

service rpcbind stop   service nfslock stop   service nfs stop   service rpcbind start   service nfslock start   service nfs start

确保配置的NFS及其关联端口显示为之前设置并显示端口号和OSI第4层protcols. rpcbind(或portmapper)的标准端口号是111 / udp,111 / tcp和nfs是2049 / udp,2049 / tcp.

rpcinfo -p | sort -k 3

立即恢复pre-nfs-firewall-rules

iptables-restore < pre-nfs-firewall-rules-server

为NFS服务器编写iptables规则(注意:必须允许环回适配器,否则你会看到丢弃的数据包,当你重新启动nfs服务时,它会吐出错误{Starting NFS配额:无法注册服务:RPC:超时rpc.rquotad:无法注册(RQUOTAPROG,RQUOTAVERS,udp).[Failed]}用于rquotad守护程序.您可以通过在input底部添加LOG跳转目标或过滤器表的OUTPUT链来检查这一点.

iptables -P input DROP   iptables -P OUTPUT DROP    iptables -A input -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,111,2049,32769,875,892 -m state --state NEW,ESTABliSHED -j ACCEPT    iptables -A input -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,32803,ESTABliSHED -j ACCEPT    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,892 -m state --state ESTABliSHED -j ACCEPT    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,892 -m state --state ESTABliSHED -j ACCEPT    iptables -I input  -i lo -d 127.0.0.1 -j ACCEPT   iptables -I OUTPUT  -o lo -s 127.0.0.1 -j ACCEPT   iptables -L -n --line-numbers

配置NFS导出目录

vim /etc/exports    exportfs -av   showmount -e   rpcinfo -p

按以下顺序停止和启动NFS和相关服务

service rpcbind stop   service nfslock stop   service nfs stop   service rpcbind start   service nfslock start   service nfs start

NFS客户端:

保存当前的Iptables规则供以后使用. (如果你的发行版中没有iptables-save,你可以试试iptables -S filename)

iptables-save > pre-nfs-firewall-rules-clIEnt

刷新并检查Iptables规则

iptables -F   iptables -L

从客户端计算机获取防火墙NFS服务器端口,并记下端口号和OSI第4层protcols.

rpcinfo -p 'ip-addr-nfs-server' | sort -k 3

立即恢复pre-nfs-firewall-rules

iptables-restore < pre-nfs-firewall-rules-clIEnt

为NFS客户端编写iptables规则(注意:必须允许Loopback适配器,它会吐出ERROR {Starting NFS配额:无法注册服务:RPC:超时rpc.rquotad:无法注册(RQUOTAPROG,udp).[Failed]}用于rquotad守护程序.您可以通过在input底部添加LOG跳转目标或过滤器表的OUTPUT链来检查这一点.

iptables -P input DROP   iptables -P OUTPUT DROP   iptables -A input -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,892 -m state --state ESTABliSHED -j ACCEPT    iptables -A input -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,892 -m state --state ESTABliSHED -j ACCEPT    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,ESTABliSHED -j ACCEPT    iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,ESTABliSHED -j ACCEPT    iptables -I input  -i lo -d 127.0.0.1 -j ACCEPT   iptables -I OUTPUT  -o lo -s 127.0.0.1 -j ACCEPT   iptables -L -n --line-numbers

按以下顺序停止和启动NFS和相关服务

service rpcbind stop   service nfslock stop   service nfs stop   service rpcbind start   service nfslock start   service nfs start

列出NFS服务器导出

showmount -e 'ip-addr-nfs-server'

手动挂载NFS导出(可以使用/ etc / fstab配置持久挂载)

mount -t nfs ip-addr-nfs-server:/exported-directory /mount-point -o rw,nfsvers=3   mount -t nfs ip-addr-nfs-server:/exported-directory /mount-point -o rw  --> For NFS4 version

配置autofs,如果nfs导出和ldap用户主目录首选自动挂载(可以设置直接映射和间接映射)

vim /etc/auto.master    -> specify the mount point and map-name (Eg: auto.nfs)   vim /etc/map-name   service autofs stop   service autofs start

检查挂载的NFS导出

df -h -F nfs   mount | grep nfs

列出所有伪根NFS-V4导出目录(NFS Lazy mount)

ls /net/ip-addr-nfs-server
总结

以上是内存溢出为你收集整理的NFS服务器和NFS客户端的Iptables规则全部内容,希望文章能够帮你解决NFS服务器和NFS客户端的Iptables规则所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://www.outofmemory.cn/yw/1021534.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
搞定设计 搞定设计 一级用户组
0 0
上一篇 2022-05-23
下一篇 2022-05-23

发表评论

登录后才能评论

评论列表(0条)

保存