关于NFS设置防火墙的问题

wyp2001

大家好，我配置好了NFS伺服器，

# vi /etc/exports
/tmp *(ro,all_squash)
/var/ftp/pub 192.168.0.210(ro,all_squash)
/home/upload 192.168.0.210(rw,all_squash,anonuid=210,anongid=210)

但在防火牆的設定上遇到了一些麻煩，希望知道的能指點一二，我的iptable如下：

Iptables –L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:2049
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:23
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:111
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:111
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

在用戶端執行如下操作出現以下情況：
# mount -t nfs 192.168.0.204:/home/upload/ /tmp
mount: mount to NFS server '192.168.0.204' failed: System Error: No route to host.

# showmount -e 192.168.0.204
rpc mount export: RPC: Unable to receive; errno = No route to host

有哪位兄弟知道原因吗？

wyp2001

停止防火墙，在客户端是可以挂载的，问题就在防火墙，NFS在启动时除了2049和111两个固定端口外，还会产生很多随机端口，参照网上一位前辈的指点，如果把mountd, statd, lockd 三个固定在某个port上，方法如下：

# vi /etc/sysconfig/nfs
MOUNTD_PORT="4002"
STATD_PORT="4003"
LOCKD_TCPPORT="4004"
LOCKD_UDPPORT="4004"
# service nfs restart

并在防火墙中开放相应端口，发现还是不能挂载，CU上有知道原因的朋友吗，麻烦指点一下，多谢了！

wyp2001

CU没有人知道么？？？

mxbao

不知道nfs用的什么端口
你要不直接就认证源地址,不设置端口,试试看

wyp2001

不知道nfs用的什么端口
你要不直接就认证源地址,不设置端口,试试看

谢谢！
你的方法肯定是没有问题的，这样做就开放了源地址的所有端口吧，这样似乎不是很安全！

lihualoveyou

在设置了防火墙的环境中使用NFS，需要在防火墙上打开如下端口：

1. portmap 端口 111 udp/tcp；Fz4Linux联盟
2. nfsd 端口 2049 udp/tcp；Fz4Linux联盟
3. mountd 端口 "xxx" udp/tcpFz4Linux联盟
系统 RPC服务在 nfs服务启动时默认会为 mountd动态选取一个随机端口（32768--65535）来进行通讯，我们可以通过编辑/etc/services 文件为 mountd指定一个固定端口：Fz4Linux联盟
# vi /etc/servicesFz4Linux联盟
在末尾添加 Fz4Linux联盟
mountd 1011/udpFz4Linux联盟
mountd 1011/tcpFz4Linux联盟
保存该文件Fz4Linux联盟
# stopsrc -s rpc.mountdFz4Linux联盟
# startsrc -s rpc.mountdFz4Linux联盟
# exportfs -aFz4Linux联盟
# rpcinfo -p HostnameFz4Linux联盟
现在我们会发现 mountd已经和端口 1011绑定了。

另外，nfs中需要通讯的服务还有 rpc.lockd和 rpc.statd，其中对lockd我们可以用类似的方法来指定固定端口，Fz4Linux联盟
# vi /etc/servicesFz4Linux联盟
添加Fz4Linux联盟
lockd 35000/ucpFz4Linux联盟
lockd 35000/tdpFz4Linux联盟
# stopsrc -s rpc.lockdFz4Linux联盟
# startsrc -s rpc.lockdFz4Linux联盟
# exportfs -aFz4Linux联盟
nfs客户端mount文件系统Fz4Linux联盟
# rpcinfo -p Hostname

但 rpc.statd无法通过该方法来指定端口，它只能使用随机端口，如有必要，在防火墙上要根据下面命令的显示来开放随机端口：

# no -a |grep ephemeralFz4Linux联盟
tcp_ephemeral_high = 65535Fz4Linux联盟
tcpp_ephemeral_low = 32768Fz4Linux联盟
udp_ephemeral_high = 65535Fz4Linux联盟
udp_ephemeral_low = 32768

当然也可以不开放 rpc.statd需要的随机端口，带来的影响就是如果 nfs连接中断（比如server或client宕掉了），系统将无法通过statd来恢复连接中断前的状态，而必须重新 mount该nfs文件系统。


我试过，这样做可以解决大部分问题

joy167270

看了写的好麻烦,楼主直接又iptables 写ACL不就行了吗,何必开Firewall
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTAHLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

首先开启portmap 服务
service portmap start

iptables -A INPUT -p TCP --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP --dport 111 -m state --state NEW -j ACCEPT

编辑# vi /etc/sysconfig/nfs
MOUNTD_PORT="4002"
STATD_PORT="4003"
LOCKD_TCPPORT="4004"
LOCKD_UDPPORT="4004"

service nfs start

iptables -A INPUT -p TCP --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p TCP --dport 4002:4004 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP --dport 4004 -m sate --state NEW -j ACCEPT

[ 本帖最后由 joy167270 于 2008-6-4 15:14 编辑 ]