Quais portas preciso abrir no firewall para usar o NFS?

$ rpcinfo -p | grep nfs

Porta 111 (TCP e UDP) e 2049 (TCP e UDP) para o servidor NFS.

Existem também portas para o status do cluster e do cliente (porta 1110 TCP para o primeiro e 1110 UDP para o último), bem como uma porta para o gerenciador de bloqueio NFS (porta 4045 TCP e UDP). Somente você pode determinar quais portas você precisa permitir, dependendo de quais serviços são necessários no gateway cruzado.

Além de 111 para portmapper e 2049 para nfs, você precisará permitir a porta mountd e possivelmente rquotad, lockd e statd, todos os quais podem ser dinâmicos. Este excelente guia de segurança NFS recomenda alterar seus scripts de inicialização e configurações do módulo do kernel para forçá-los a usar portas estáticas.

Além do guia acima, que tem uma seção sobre firewalls , veja minha resposta para outra pergunta sobre proteção do NFS.

Encontrei instruções úteis para o meu problema nesta página, mas não havia uma receita fácil de seguir. Então aqui está a minha receita.

TL;DR - precisa permitir as duas portas nfs (111, 2049) e a porta montada após corrigi-la.

Instruções:

Configurando uma porta fixa para mountd

gksudo gedit /etc/default/nfs-kernel-server

• comente esta linha:RPCMOUNTDOPTS=--manage-gids
• adicione isso em vez disso:RPCMOUNTDOPTS="--port 33333"

Ou qualquer outro número de porta.

agora tente redefinir o nfs usando:

sudo service nfs-kernel-server restart

E teste se ajudou usando:

rpcinfo -p | grep "tcp.*mountd"

Para mim, não foi suficiente, mas uma reinicialização completa corrigiu o problema.

( crédito )

Configurando o firewall

(1) exclua as regras antigas, faça isso manualmente ou redefina se este for o único uso do firewall:

sudo ufw reset
sudo ufw enable

(2) adicionar portas nfs e mountd

sudo ufw allow in from 10.0.0.1/20 to any port 111 
sudo ufw allow in from 10.0.0.1/20 to any port 2049
sudo ufw allow in from 10.0.0.1/20 to any port 33333

(Mude para o seu IP local ou para " any" em vez de 10.0.0.1/20)

Isso é tudo o que há para isso.

Isso fornecerá uma lista de todas as portas usadas por todos os programas relacionados ao NFS:

rpcinfo -p | awk '{print $3" "$4}' | sort -k2n | uniq

Com FERM pode-se usar Backticks para obter as portas do rpcinfo, por exemplo:

Servidor:

proto tcp {saddr ($CLIENT) {
  dport (`rpcinfo -p | perl -e 'while(<>){/\s+\d+\s+\d\s+(?:tcp)\s+(\d+)/ and $ports{$1}=1}; $, = " "; print sort(keys(%ports)),"\n"'`) ACCEPT; # NFS
}}
proto udp {saddr ($CLIENT) {
  dport (`rpcinfo -p | perl -e 'while(<>){/\s+\d+\s+\d\s+(?:udp)\s+(\d+)/ and $ports{$1}=1}; $, = " "; print sort(keys(%ports)),"\n"'`) ACCEPT; # NFS
}}

Cliente:

proto udp {saddr ($SERVER) {ACCEPT;}}  # NFS

(Se você for usar apenas o TCP, precisará apenas da proto tcpparte).

Para montar o Synology no sistema Ubuntu 18.04, tive que habilitar as portas 111.892.2049

Ao montar, aqui está o que vejo (NFS 4 não está ativado no meu Synology):

root@ub18ovh# mount -a -vv
mount.nfs: trying text-based options 'vers=4.2,addr=5.6.7.8,clientaddr=1.2.3.4'
mount.nfs: mount(2): Protocol not supported
mount.nfs: trying text-based options 'vers=4.1,addr=5.6.7.8,clientaddr=1.2.3.4'
mount.nfs: mount(2): Protocol not supported
mount.nfs: trying text-based options 'vers=4.0,addr=5.6.7.8,clientaddr=1.2.3.4'
mount.nfs: mount(2): Protocol not supported
mount.nfs: trying text-based options 'addr=5.6.7.8'
mount.nfs: prog 100003, trying vers=3, prot=6
mount.nfs: trying 5.6.7.8 prog 100003 vers 3 prot TCP port 2049
mount.nfs: prog 100005, trying vers=3, prot=17
mount.nfs: trying 5.6.7.8 prog 100005 vers 3 prot UDP port 892
successfully mounted

Para os registros, tive que adicionar permissões para as portas 111, 2049 E 1048 para uma configuração em que um compartilhamento NFS é exportado por um servidor Windows 2008 R2 e os clientes são Ubuntu 12.04.4.

Espero que isso ajude alguém.

se você usa o firewall csf e o nfs não monta, você provavelmente perderá as portas abertas usadas pelo nlockmgr, encontre-as digitando

rpcinfo -p

Em seguida, edite /etc/sysctl.confpara BLOQUEAR as portas nesses números (porta de exemplo) e adicione essas 2 linhas. Em seguida, reinicie o portmap, nfs-server.

fs.nfs.nlm_udpport=38073 

fs.nfs.nlm_tcpport=38747