NFS Server端的防火墙控制(十一)

NFS Server端的防火墙控制

真正企业生产环境的存储服务器都属于内网环境，都无需防火墙，因此，此处可以不配置，如果要配置的话就有两种方法：

方法一：

1. 仅允许IP段访问

iptables -AINPUT -s 192.168.221.1/24 -j ACCEPT

2. 允许IP段加端口访问

iptables -AINPUT -i ech1 -p tcp -s 192.168.221.1/24 --dport 111 -j ACCEPT

iptables -AINPUT -i ech1 -p udp -s 192.168.221.1/24 --dport 111 -j ACCEPT

iptables -AINPUT -i ech1 -p tcp -s 192.168.221.1/24 --dport 2049 -j ACCEPT

iptables -AINPUT -i ech1 -p udp -s 192.168.221.1/24 -j ACCEPT

方法二：

在Linux系统中，我们也会常遇到NFS的设置。针对这方面，我们这次主要讲解一下Linux NFS的端口配置。看看如何设置可以调节好防火墙和端口的设置。

配置NFS端口参数。

(1)NFS静态端口参数文件：

可以在/etc/sysconfig/nfs文件中设定NFS服务的一些静态端口。而/etc/sysconfig/目录下的文件都是为服务传递参数的文件，因此可以在/etc/sysconfig/nfs中给NFS服务定义一些静态端口，这样就可以方便防火墙的设定控制了。

注意：默认情况下，/etc/sysconfig/nfs这个文件不存在，需要手动建立。在其中需要为以下进程进行设定静态端口。

----------------------------------------------------------------------

rpc.lockd (TCP) ----> LOCKD_TCPPORT

rpc.lockd (UDP) ----> LOCKD_UDPPORT

rpc.mountd (TCP)----> MOUNTD_PORT

rpc.statd (TCP) ----> STATD_PORT

----------------------------------------------------------------------

以上是这些进程所对应的端口参数变量。

(2)设定NFS端口参数文件。

[[email protected] ~]# cat >> /etc/sysconfig/nfs << EOF
----------------------------------------------------------------------
> LOCKD_TCPPORT=4001
> LOCKD_UDPPORT=4001
> MOUNTD_PORT=4002
> STATD_PORT=4003
> EOF
----------------------------------------------------------------------

注意：这些端口必须是/etc/services未被定义过的端口。

查看：

[[email protected] ~]# cat/etc/sysconfig/nfs
LOCKD_TCPPORT=4001
LOCKD_UDPPORT=4001
MOUNTD_PORT=4002
STATD_PORT=4003

----------------------------------------------------------------------

确定完毕。

4.重新启动NFS服务：

[[email protected] ~]# etc/init.d/nfs restart
----------------------------------------------------------------------
Shutting down NFS mountd:                                  [  OK  ]
Shutting down NFS daemon:                                  [  OK  ]
Shutting down NFS quotas:                                  [ OK  ]
Shutting down NFS services:                                [  OK  ]
Starting NFS services:                                     [  OK  ]
Starting NFS quotas:                                       [  OK  ]
Starting NFS daemon:                                       [  OK  ]
Starting NFS mountd:                                       [  OK  ]
----------------------------------------------------------------------

5.重新查看相关端口：

[[email protected] ~]# rpcinfo -p
----------------------------------------------------------------------
  program vers proto   port
   100000    2   tcp   111  portmapper
   100000    2   udp   111  portmapper
   100024    1   udp  1000  status  <---不是4003还是1000
   100024    1   tcp  1003  status  <---不是4003还是1000
   100011    1   udp   987  rquotad
   100011    2   udp   987  rquotad
   100011    1   tcp   990  rquotad
   100011    2   tcp   990  rquotad
   100003    2   udp  2049  nfs
   100003    3   udp  2049  nfs
   100003    4   udp  2049  nfs
    100003   2   tcp   2049 nfs
   100003    3   tcp  2049  nfs
   100003    4   tcp  2049  nfs
   100021    1   udp  4004  nlockmgr
   100021    3   udp  4004  nlockmgr
   100021    4   udp  4004  nlockmgr
   100021    1   tcp  4004  nlockmgr
   100021    3   tcp  4004  nlockmgr
   100021    4   tcp  4004  nlockmgr
   100005    1   udp  4002  mountd
   100005    1   tcp  4002  mountd
   100005    2   udp  4002  mountd
   100005    2   tcp  4002  mountd
   100005    3   udp  4002  mountd
   100005    3   tcp  4002  mountd
----------------------------------------------------------------------

这样的话，NFS的端口就规范了很多。就可以用Iptables来修改防火墙。

另外，这里的status端口仍然是1000和1003，并没有改变成4003。

其实这个问题要系统重新启动后才会生效

[[email protected] ~]# rpcinfo -p
----------------------------------------------------------------------
  program vers proto   port
   100000    2   tcp   111  portmapper
   100000    2   udp   111  portmapper
   100024    1   udp  4003  status  <---已经是4003了
   100024    1   tcp   4003 status  <---已经是4003了
   100011    1   udp   915  rquotad
   100011    2   udp   915  rquotad
   100011    1   tcp   918  rquotad
   100011    2   tcp   918  rquotad
   100003    2   udp  2049  nfs
   100003    3   udp  2049  nfs
   100003    4   udp  2049  nfs
   100003    2   tcp  2049  nfs
   100003    3   tcp  2049  nfs
   100003    4   tcp  2049  nfs
   100021    1   udp  4004  nlockmgr
   100021    3   udp  4004  nlockmgr
   100021    4   udp  4004  nlockmgr
   100021    1   tcp  4004  nlockmgr
   100021    3   tcp  4004  nlockmgr
   100021    4   tcp  4004  nlockmgr
   100005    1   udp  4002  mountd
   100005    1   tcp  4002  mountd
   100005    2   udp  4002  mountd
   100005    2   tcp  4002  mountd
    100005   3   udp   4002 mountd
   100005    3   tcp  4002  mountd
----------------------------------------------------------------------

这个问题要重新后才能解决。

6.编辑Iptables：

(1)确认Iptables的运行。

[[email protected] ~]#/etc/init.d/iptables status

----------------------------------------------------------------------

Table: filter

----------------------------------------------------------------------

说明Iptable目前生效，并且定义了Filter这个过滤表。

7.此时rpc相关端口已经被固定,可以为Linux NFS添加防火墙规则

[[email protected] ~]# iptables -I INPUT 1 -p tcp --dport111 -j ACCEPT
[[email protected] ~]# iptables -I INPUT 1 -p udp --dport111 -j ACCEPT
[[email protected] ~]# iptables -I INPUT 1 -p tcp --dport2049 -j ACCEPT   
[[email protected] ~]# iptables -I INPUT 1 -p udp --dport2049 -j ACCEPT     
[[email protected] ~]# iptables -I INPUT 1 -p tcp --dport4001:4003 -j ACCEPT   
[[email protected] ~]# iptables -I INPUT 1 -p udp --dport4001:4003 -j ACCEPT

8.保存防火墙

[[email protected] ~]#/etc/init.d/iptables save
iptables: Savingfirewall rules to /etc/sysconfig/iptables:[ OK  ]

9. 用客户端连接NFS服务端的共享

[[email protected] ~]# showmount -e 192.168.221.130
Export list for 192.168.221.130:
/data/bbs 192.168.221.1/24

出现该条说明，防火墙已经开放了NFS了。说明防火墙已经设定成功了。

时间： 2024-11-07 09:31:43

NFS Server端的防火墙控制(十一)的相关文章

NFS服务端+客户端配置

一.Server端配置 1.下载rpcbind和nfs #yum install -y rpcbind nfs-utils 2.创建共享文件并授权创建共享文件夹 #mkdir /server-nfs 创建测试文件 #touch /server-nfs/test.txt #echo "Test file">/server-nfs/test.txt 分配权限 #chown -R nfsnobody.nfsnobody /server-nfs/ 3.配置文件并挂载写配置文件 #ec

关于在OpenShift节点上建立NFS Server

yum install nfs-utils mkdir /var/nfsshare chmod -R 777 /var/nfsshare/ 在/etc/exports中加入内容 /var/nfsshare 192.168.174.0/24(insecure,rw,sync,no_root_squash,no_all_squash) 记住这个192.168.174.0/24是访问端的地址,也可以直接设置成* systemctl enable rpcbind systemctl enable nfs

搭建nfs共享存储服务之二nfs服务端配置语法及配置实战详解

1.1.NFS服务端配置文件路径为: /etc/exports,并且默认为空,需要用户自行配置. /etc/exports文件配置格式为: NFS共享的目录 NFS客户端地址1(参数1,参数2...)客户端地址2(参数1,参数2) 1.NFS共享的目录:为NFS服务端要共享的实际目录,要用绝对路径,如(/data),注意共享目录的本地权限,如果需要读写共享,一点要让本地目录可以被NFS客户端的用户(nfsnobody)读写. 2.NFS客户端地址:为NFS服务端授权的可访共享目录的NFS客户端地

NFS服务端环境准备(二)

NFS服务器端的搭建步聚服务器系统角色 IP CentOS-64- MrXiong -server NFS服务器端 192.168.221.130 CentOS-64--client NFS客户端 192.168.221.131 服务端配置检查服务器系统信息操本系统版本信息: [[email protected] ~]# cat /etc/redhat-release CentOS release 6.6 (Final) [[email protected] ~]# uname -n M

JS学习十四天----server端运行JS代码

server端运行JS代码话说,当今不在client使用JS代码才是稀罕事.因为web应用的体验越来越丰富,client用JS实现的逻辑也越来越多,这造成的结果就是某些差点儿一致的逻辑须要在client和服务端各实现一遍,大牛们当然不甘心啊!幸运的是,我们能够在server端运行JS代码,谁让JS抱了一根大腿呢... 比如,现在在client使用JS进行验证已经是个标准,他能够有效避免用户在正常情况下提交错误的数据,增强用户体验.当然,server端的验证也是不可缺少的,由于这才是安全性的体现

Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:h

【翻译自mos文章】当NFS server 宕机后，Oracle 数据库冻结并且alert 文件里没有任何错误

当NFS server 宕机后,Oracle 数据库冻结并且alert 文件里没有任何错误翻译自mos文章:When NFS Server Is Down, Oracle Server Freezes With No Errors In Alert Log File (文档 ID 1316251.1) 适用于: Oracle Server - Enterprise Edition - Version: 10.2.0.4 and later [Release: 10.2 and later

搭建nfs共享存储服务之一nfs服务端搭建

NFS相当于房源,RPC相当于中介. nfs-utils: NFS服务的主程序,包括rpc.nfsd.rpc.mountd这两个daemon和相关文件说明,以及执行命令文件等. rpcbind: centos6.x下面RPC的主程序.NFS可以视为一个RPC程序,在启动任何一个RPC程序之前,需要做好端口和功能的对应映射工作,这个映射工作就是由rpcbind服务来完成的.因此,在提供NFS服务之前必须先启动rpcbind服务才行. 1.查看NFS软件包 : 可使用如下命令查看默认情况下cen

Windows10配置NFS服务端和客户端

环境:Windows10企业版x64 安装服务端安装hane win nfs server,版本1169(官方最新版1223经试验不成功). 设置如下: 以管理员身份重启服务(注:软件界面上"重启服务"按钮无效): 安装客户端 windows10企业版默认没有安装NFS工具,需要在控制面板中安装: 确定后系统安装NFS组件,cmd会加入命令: 挂载NFS目录到某个盘符(如X盘): 挂载成功: