版本:红帽企业Linux 4现象:NFS依赖portmap分配它监听的端口。这些端口是动态分配的,所以每次NFS重启后,端口都会改变。这使得在只允许访问系统指定端口的防火墙后运行一个NFS服务器变得困难。解决:第一步是分配一个永久端口号给每个NFS服务(rquotad, mountd, statd, and lockd)。因为它们能使用任何高于1024的没有被使用的端口,建议你首先查看/etc/services文件来找到一个有效的没有使用的端口范围。下面的例子使用10000-10005。这些端口大部分在/etc/sysconfig/nfs文件里被配置。如果它不存在就创建它。它看起来像这样:# NFS port numbers STATD_PORT=10002 STATD_OUTGOING_PORT=10003 MOUNTD_PORT=10004 RQUOTAD_PORT=10005lockd服务和其他服务配置不同,因为它是一个核心模块。要设置lockd使用的端口,在/etc/sysconfig/nfs文件里添加这些选项:LOCKD_UDPPORT=30001 LOCKD_TCPPORT=30001这里"30001"可以被替换成任何可用并且可以被分配使用的端口。做完这些配置改变后,你可以用命令 rpcinfo -p<hostname>来查看端口分配情况:# rpcinfo -p localhost program vers proto port 100000 2 tcp 111 portmapper 100000 2 udp 111 portmapper 100021 1 udp 10001 nlockmgr 100021 3 udp 10001 nlockmgr 100021 4 udp 10001 nlockmgr 100021 1 tcp 10000 nlockmgr 100021 3 tcp 10000 nlockmgr 100021 4 tcp 10000 nlockmgr 100024 1 udp 10002 status 100024 1 tcp 10002 status 100011 1 udp 10005 rquotad 100011 2 udp 10005 rquotad 100011 1 tcp 10005 rquotad 100011 2 tcp 10005 rquotad 100003 2 udp 2049 nfs 100003 3 udp 2049 nfs 100003 4 udp 2049 nfs 100003 2 tcp 2049 nfs 100003 3 tcp 2049 nfs 100003 4 tcp 2049 nfs 100005 1 udp 10004 mountd 100005 1 tcp 10004 mountd 100005 2 udp 10004 mountd 100005 2 tcp 10004 mountd 100005 3 udp 10004 mountd 100005 3 tcp 10004 mountd这样,当NFS重启后端口将会保留。下面是在防火墙上需要被打开的端口列表:* 111: portmap (tcp/udp) * 2049: nfs (tcp/udp) * 10000: example lockd (tcp) * 10001: example lockd (udp) * 10002: example statd/status (tcp/udp) * 10003: example statd/status outgoing (tcp/udp) * 10004: example mountd (tcp/udp) * 10005: example rquotad (tcp/udp)你现在可以在防火墙上打开这些端口,来允许远方的客户端挂载服务器上的共享输出了。如果你使用iptables,可以用下面的命令来增加输入/输出规则,来允许访问这些端口。注意这只是一个例子,你的防火墙规则可能不一样:# iptables -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT # iptables -A INPUT -p udp -m udp --dport 111 -j ACCEPT # iptables -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT # iptables -A INPUT -p udp -m udp --dport 2049 -j ACCEPT # iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT # iptables -A INPUT -p udp -m udp --dport 10001 -j ACCEPT # iptables -A INPUT -p tcp -m tcp --dport 10002:10005 -j ACCEPT # iptables -A INPUT -p udp -m udp --dport 10002:10005 -j ACCEPT # iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable # iptables -A OUTPUT -p tcp -m tcp --dport 111 -j ACCEPT # iptables -A OUTPUT -p udp -m udp --dport 111 -j ACCEPT # iptables -A OUTPUT -p tcp -m tcp --dport 2049 -j ACCEPT # iptables -A OUTPUT -p udp -m udp --dport 2049 -j ACCEPT # iptables -A OUTPUT -p tcp -m tcp --dport 10000 -j ACCEPT # iptables -A OUTPUT -p udp -m udp --dport 10001 -j ACCEPT # iptables -A OUTPUT -p tcp -m tcp --dport 10002:10005 -j ACCEPT # iptables -A OUTPUT -p udp -m udp --dport 10002:10005 -j ACCEPT # iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -A OUTPUT -j REJECT --reject-with icmp-port-unreachable注意:没有指明用tcp选项的挂载请求会缺省使用udp。Linux Kernel Kprobe栈耗尽漏洞配置Linux 内核并利用iptables 做端口映射相关资讯 红帽 Linux防火墙
- 微软宣布与红帽建立合作伙伴关系 (11/05/2015 20:16:06)
- 关于Linux防火墙"iptables"的面试 (08/04/2015 09:59:31)
- 红帽发力云分析,发布一系列新产品 (06/30/2015 15:14:40)
| - 红帽的 ?Ceph 和 Inktank 代码库 (09/19/2015 08:33:35)
- Linux软防火墙ACL匹配的优化点 (07/17/2015 09:21:24)
- 红帽与NEC合作,开发网络虚拟化功 (02/10/2015 20:16:08)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站