Zdravim, nemuzu prijit na to, jak nastavit iptables aby mi fungoval NFS server. Pokud iptables vypnu (na strane serveru), tak vse funguje, takze problem je zde.
/etc/init.d/iptables status
Tabulka: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2049
5 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:2049
6 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:111
8 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:111
9 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
V tom klikatku mam zaskrtle NFS4 (jine tam neni) a to povoli jen 2049tcp, udp. Tu 111 jsem uz dopisoval ruco, pac jsem nekde objevil ze ji to vyzaduje. Vecer az se dostanu k velkemu kompu tak zkusim navod od “Slune”, pak sem napisu vysledek.
Tak to funguje, dopsal jsem vse co mi vypsal rpcinfo -p. Timto Sluneti velke diky ! Jinak prikladam funkcni iptables pro NFS a SSH server, mozna se bude nekomu hodit. Nechapu proc se to nenastavi vse, po zaskrtnuti NFS v system-config-firewall.
/etc/init.d/iptables status
Tabulka: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2049
5 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:2049
6 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:111
8 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:111
9 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:39614
10 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:42704
11 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:43430
12 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:44561
13 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:49693
14 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53174
15 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:875
16 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:875
17 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
To je ti pochopitelně k ničemu, stejně jako komukoli jinému.
Porty jsou dynamicky přiřazovány, mimo nfsd, rquotad a portmap rpc (http://docs.fedoraproject.org/security-guide/en_US/F11/html/sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html).
Takže podle návodu nastav v konfiguračním souboru používané porty, tytéž porty a příslušné protokoly ručně povol ve firewallu. Pokud chceš zachovat stávající konfiguraci, jen zapiš právě používané porty do /etc/sysconfig/nfs.
Pokud používáš SELinux, ověř, že máš povolené Booleany (getsebool -a | grep nfs) pro funkce, které používáš.
Zbytek přístupových práv se nastavuje přes exports/fstab a hosts.allow/deny.