iptables regeln für nfs

15060
max

Ich habe während der Eingabe showmount -e 192.168.56.2des Client- Rechners eine Fehlermeldung erhalten

[root @ client ~] # showmount -e 192.168.56.2 clnt_create: RPC: Port-Mapper-Fehler - Empfang nicht möglich: Errno 113 (Keine Route zum Host)

Dies ist meine NFS-Serverkonfiguration

nfs server ip 192.168.56.2

Das ist meine NFS-Freigabe

[root @ www ~] # cat / etc / exports  / files 192.168.56.7 (rw, sync)

Dies sind die beiden Dienste, die auf dem Server-Computer ausgeführt werden

[root @ www ~] # service rpcbind status rpcbind (pid 2626) läuft ... 
[root @ www ~] # nfs status des Dienstes rpc.svcgssd wird gestoppt rpc.mountd (pid 2716) läuft ... nfsd (pid 2781 2780 2779 2778 2777 2776 2775 2774) läuft ... rpc.rquotad (pid 2712) läuft ...

Dies ist meine iptables-Regel 

[root @ www ~] # cat / etc / sysconfig / iptables # Generiert von iptables-save v1.4.7 am Do 31.10. 02:08:16 2013 *Filter : INPUT ACCEPT [0: 0] : VORWÄRTS AKZEPTIEREN [0: 0] : AUSGABE AKZEPTIEREN [5: 388] -EINGABE -p TCP -m TCP -dport 111 -j AKZEPTIEREN  -A INPUT -p TCP -m TCP -dport 2049 -j AKZEPTIEREN  -Ein Zustand INPUT -m - state RELATED, ESTABLISHED -j ACCEPT  -EINGANG -p icmp -j AKZEPTIEREN  -A INPUT -i lo -j ACCEPT  -A INPUT -p tcp -m state -state NEU -m tcp -dport 22 -j ACCEPT  -A INPUT -j REJECT --reject-with icmp-host -ohibited  -A FORWARD -j REJECT --reject-with icmp-host-verboten  VERPFLICHTEN # Abgeschlossen am Do 31.10. 02:08:16 2013

Wenn ich die iptables-Regel in der Server-Maschine spüle, kann mein Client die NFS-Freigabe sehen 

[root @ client ~] # showmount -e 192.168.56.2 Exportliste für 192.168.56.2: / files 192.168.56.7

Das bedeutet ein Problem mit der iptables-Regel. Kann mir jemand sagen, was das Problem mit meiner iptables-Regel ist ? Verpasse ich einen anderen Port? Wie können diese Probleme behoben werden?

Ich habe diese Methode von meinem Client-Computer aus versucht, um zu überprüfen, ob der Port lauscht oder nicht. Dies ist die Ausgabe davon 

[root @ client ~] # telnet 192.168.56.2 111 192.168.56.2 wird versucht ... Verbunden mit 192.168.56.2. Escape-Zeichen ist '^]'. 
[root @ client ~] # telnet 192.168.56.2 2049 192.168.56.2 wird versucht ... Verbunden mit 192.168.56.2. Escape-Zeichen ist '^]'.
3

2 Antworten auf die Frage

2
MariusMatutiae

Die Liste der offenen Ports für NFS ist zu restriktiv. Zuerst müssen Sie die gleichen Ports für UDP öffnen, dann müssen Sie 2 weitere Ports hinzufügen. Die vollständige Liste der zu öffnenden Ports lautet:

 sunrpc 111/tcp rpcbind #SUN Remote Procedure Call sunrpc 111/udp rpcbind #SUN Remote Procedure Call nfsd-status 1110/tcp #Cluster status info nfsd-keepalive 1110/udp #Client status info nfsd 2049/tcp nfs # NFS server daemon nfsd 2049/udp nfs # NFS server daemon lockd 4045/udp # NFS lock daemon/manager lockd 4045/tcp
Before adding 2 ports is there any changes I have to make in this file /etc/sysconfig/nfs ? max vor 10 Jahren 0
Nicht, wenn Sie eine nicht standardmäßige Installation haben. MariusMatutiae vor 10 Jahren 0
Ihrer Antwort nach habe ich die iptables-Regel geändert, aber 1110- und 4045-Ports hören immer noch nicht von meinem Client. Daher löschte ich diese 2 Ports von iptables und fügte nur diese 111 / tcp, 111 / udp, 2049 / tcp, 2049 / udp und hinzu es fängt an zu arbeiten. max vor 10 Jahren 0
Ihre Antwort ist richtig, aber ich brauche ein paar Informationen, wenn ich diesen Fehler sehe. Wie kann ich vermuten, dass es sich um ein Port-Problem handelt? Jede Protokollnachricht liefert diese Informationen? oder sagen Sie mir irgendeine Methode zur Fehlersuche. max vor 10 Jahren 0
Bitte akzeptieren Sie meine Antwort, wenn es jetzt funktioniert. Wie beim Troubeshooting: Sie haben eine Verbindung, Sie haben Anmeldeinformationen (Sie können sich ohne Firewall anmelden), aber Sie können keine Verbindung mit der Firewall herstellen. Daher Firewall zu restriktiv. Nachgeschlagen, was ich auf einem anderen PC gemacht habe. Ansonsten hätte ich benötigte Ports, wie "NFS iptables Ports", googeln können. MariusMatutiae vor 10 Jahren 0
Übrigens, ich habe mir deine IP-Regeln angesehen und sie waren in Ordnung, keine Fehler. Daher bestand die einzige Möglichkeit darin, dass du einen Port schließen musstest. Lassen Sie mich hinzufügen, dass es keine Möglichkeit gibt, dies zu diagnostizieren, es sei denn, Sie sagen, dass iptables alle Verbindungsversuche protokolliert (und Sie haben es nicht getan). Grund ist: Remote-Computer sendet Verbindung und denkt: "Alles ist in Ordnung". Der lokale Computer erkennt aufgrund der Firewall keine eingehenden Pakete. Wenn Sie möchten, können Sie iptables anweisen, ein Protokoll zu führen. Achtung: Sehr große Datei, nur zum Debuggen nützlich. MariusMatutiae vor 10 Jahren 0
2
Sathish

NFS-SERVER:

Konfigurieren Sie die Ports für rquotd (875 / udp; 875 / tcp), gesperrt (32803 / tcp; 32769 / udp), mountd (892 / udp; 892 / tcp), statd (10053 / udp; 10053 / tcp), statd_outgoing (10054) / udp; 10054 / tcp)

 vim /etc/sysconfig/nfs

Deaktivieren Sie gegebenenfalls die Unterstützung für NFS v3 und NFS v2, indem Sie die Zeilen 5 und 6 von / etc / sysconfig / nfs bearbeiten

 MOUNTD_NFS_V2="no" MOUNTD_NFS_V3="no"

Speichern Sie die aktuellen Iptables-Regeln zur späteren Verwendung

 iptables-save > pre-nfs-firewall-rules-server

Spülen und überprüfen Sie die Iptables-Regeln

 iptables -F iptables -L

Stoppen und starten Sie NFS und die zugehörigen Dienste in der folgenden Reihenfolge

 service rpcbind stop service nfslock stop service nfs stop service rpcbind start service nfslock start service nfs start

Stellen Sie sicher, dass das konfigurierte NFS und die zugehörigen Ports wie zuvor festgelegt und die Portnummern und die Protokolle der OSI-Schicht 4 angezeigt werden. Die Standard-Portnummern für rpcbind (oder portmapper) sind 111 / udp, 111 / tcp und nfs sind 2049 / udp, 2049 / tcp.

 rpcinfo -p | sort -k 3

Stellen Sie jetzt die Pre-NFS-Firewall-Regeln wieder her

 iptables-restore < pre-nfs-firewall-rules-server

Schreiben Sie iptables - Regeln für NFS - Server (Hinweis: Loopback - Adapter erlaubt hat, sonst werden Sie sehen, Pakete fallen gelassen und auch, wenn Sie nfs - Dienst neu starten, wird es spucken ERROR für den Rquotad-Dämon. Sie können dies überprüfen, indem Sie eine Regel mit dem LOG-Sprungziel am unteren Rand der INPUT- oder OUTPUT-Ketten der Filtertabelle hinzufügen.

 iptables -P INPUT DROP iptables -P OUTPUT DROP  iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,111,2049,32769,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT  iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,111,2049,32803,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT  iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,111,2049,32769,875,892 -m state --state ESTABLISHED -j ACCEPT  iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,111,2049,32803,875,892 -m state --state ESTABLISHED -j ACCEPT  iptables -I INPUT -i lo -d 127.0.0.1 -j ACCEPT iptables -I OUTPUT -o lo -s 127.0.0.1 -j ACCEPT iptables -L -n --line-numbers

Konfigurieren Sie das NFS-Exportverzeichnis

 vim /etc/exports  exportfs -av showmount -e rpcinfo -p

Stoppen und starten Sie NFS und die zugehörigen Dienste in der folgenden Reihenfolge

 service rpcbind stop service nfslock stop service nfs stop service rpcbind start service nfslock start service nfs start

NFS-KUNDEN:

Speichern Sie die aktuellen Iptables-Regeln zur späteren Verwendung

 iptables-save > pre-nfs-firewall-rules-client

Spülen und überprüfen Sie die Iptables-Regeln

 iptables -F iptables -L

Besorgen Sie sich die Firewall-NFS-Server-Ports von der Client-Maschine, und notieren Sie sich die Portnummern und die Protokolle der OSI-Schicht 4.

 rpcinfo -p 'ip-addr-nfs-server' | sort -k 3

Stellen Sie jetzt die Pre-NFS-Firewall-Regeln wieder her

 iptables-restore < pre-nfs-firewall-rules-client

Schreiben Sie iptables - Regeln für NFS - Client (Hinweis: Loopback - Adapter erlaubt hat, sonst werden Sie sehen, Pakete fallen gelassen und auch, wenn Sie nfs - Dienst neu starten, wird es spucken ERROR für den Rquotad-Dämon. Sie können dies überprüfen, indem Sie eine Regel mit dem LOG-Sprungziel am unteren Rand der INPUT- oder OUTPUT-Ketten der Filtertabelle hinzufügen.

 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,111,2049,32769,875,892 -m state --state ESTABLISHED -j ACCEPT  iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,111,2049,32803,875,892 -m state --state ESTABLISHED -j ACCEPT  iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,111,2049,32769,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT  iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,111,2049,32803,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT  iptables -I INPUT -i lo -d 127.0.0.1 -j ACCEPT iptables -I OUTPUT -o lo -s 127.0.0.1 -j ACCEPT iptables -L -n --line-numbers

Stoppen und starten Sie NFS und die zugehörigen Dienste in der folgenden Reihenfolge

 service rpcbind stop service nfslock stop service nfs stop service rpcbind start service nfslock start service nfs start

NFS-Server-Exporte auflisten

 showmount -e 'ip-addr-nfs-server'

NFS-Exporte manuell bereitstellen (Dauerhafte Mounts können mit / etc / fstab konfiguriert werden)

 mount -t nfs ip-addr-nfs-server:/exported-directory /mount-point -o rw,nfsvers=3 mount -t nfs ip-addr-nfs-server:/exported-directory /mount-point -o rw --> For NFS4 version

Konfigurieren Sie autofs, wenn Automounting für nfs-Exporte und mit ldap-Benutzerverzeichnissen bevorzugt wird (direkte und indirekte Karten können festgelegt werden).

 vim /etc/auto.master -> specify the mount point and map-name (Eg: auto.nfs) vim /etc/map-name service autofs stop service autofs start

Überprüfen Sie die eingebundenen NFS-Exporte

 df -h -F nfs mount | grep nfs

Alle Pseudo-Root-NFS-V4-Exportverzeichnisse auflisten (NFS Lazy-Mount)

 ls /net/ip-addr-nfs-server

Verwandte Probleme