Início / computer / Perguntas / 1423356
Accepted
Martin Mucha
Asked: 2019-04-10 06:43:08 +0800 CST

como configurar nfs e iptables

  • 772

Estou tentando configurar o compartilhamento NFS + iptables, para que eu possa realmente acessá-lo. Não estou conseguindo encontrar nenhuma documentação/artigos atualizados/de trabalho. Você pode explicar ou compartilhar o link para a documentação adequada? Não tenho conhecimento de nfs/iptables e toda vez que decido me livrar de iptables -F"soluções", bato na parede da documentação.

  1. Não tenho ideia de qual versão do nfs eu tenho. As tentativas de usar "nfsstat –s" ou "nfsstat –c" não imprimem nada relevante.

  2. Mas presumo que será a versão 4. Tentei seguir (melhor artigo/documentação que encontrei até agora):

https://prefetch.net/blog/2010/11/02/firewalling-a-linux-nfs-server-with-iptables/

e as configurações de portas estáticas em /etc/sysconfig/nfs são ignoradas e várias unidades de serviços/systemd estão ausentes.

Você pode recomendar alguma leitura para configurar o nfs e o iptables, que é legível, compreensível e atualizado? Se o iptables estiver obsoleto e precisar ser desativado em favor de outra solução mais atualizada, compartilhe como.

EDIT: na configuração do firewall, a zona é pública e nfs entre os serviços confiáveis, que "são acessíveis de todos os hosts e redes" (não são).

rpcinfo -p
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  58868  status
    100024    1   tcp  51719  status
    100005    1   udp  20048  mountd
    100005    1   tcp  20048  mountd
    100005    2   udp  20048  mountd
    100005    2   tcp  20048  mountd
    100005    3   udp  20048  mountd
    100005    3   tcp  20048  mountd
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100227    3   tcp   2049  nfs_acl
    100021    1   udp  54703  nlockmgr
    100021    3   udp  54703  nlockmgr
    100021    4   udp  54703  nlockmgr
    100021    1   tcp  35247  nlockmgr
    100021    3   tcp  35247  nlockmgr
    100021    4   tcp  35247  nlockmgr

Achei em algum lugar:

firewall-cmd --permanent --add-port=2049/udp ; firewall-cmd --permanent --add-port=2049/tcp; firewall-cmd --permanent --add-port=111/udp; firewall-cmd --permanent --add-port=111/tcp

que poderia se correlacionar com as portas acima, mas sem sorte, não funciona. A TV não pode se conectar até que eu o faça iptables -F.

networking fedora firewall

1 respostas

  1. Best Answer

    iptables -Flibera todas as regras, o que é semelhante à desativação do firewall.

    Nunca usei comandos para gerenciar minhas regras de iptable, sempre editei manualmente o arquivo de configuração '/etc/sysconfig/iptables'. Eu também sempre removi o firewalld e fui direto com o iptables diretamente, já que o firewalld é um front-end para gerenciar o iptables.

    Se você quiser alguma documentação especificamente para firewalld, confira " https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-centos-7 " que deve funcionam da mesma forma para o Fedora.

    Se fosse eu, faria o seguinte:

    1. Desative o firewalld executandosudo systemctl disable firewalld*
    2. Instale o serviço iptables executandosudo dnf install iptables-services
    3. Habilite o iptables para iniciar na inicializaçãosudo systemctl enable iptables
    4. Edite seu arquivo de configuração do iptables para se parecer com

    /etc/sysconfig/iptables

    *filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 2049 -j ACCEPT
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

    Você pode criar facilmente uma regra geral para aceitar todo o tráfego de sua rede local ou de sua TV com uma das seguintes opções:

    • Todo o tráfego de rede: A INPUT -s 192.168.1.0/24 -j ACCEPTonde 192.168.1.0 é sua rede e /24 é sua sub-rede.
    • Apenas a sua TV: -A INPUT -s 192.168.1.22/32 -j ACCEPTonde 192.168.1.22 é o endereço IP da sua TV.

    Depois disso, basta salvar o arquivo e iniciar o serviço itpablessudo systemctl start iptables

    • 0

relate perguntas