常規(guī)的一些NFS服務(wù)設(shè)置我們已經(jīng)了解了。那么對(duì)于端口問題，很多朋友并不是很清楚。這里我們就來詳細(xì)介紹一下端口的分配。portmapper在NFS服務(wù)啟動(dòng)的時(shí)候給每一個(gè)NFS服務(wù)分配了一個(gè)動(dòng)態(tài)的端口,如何才能讓NFS client在使用RHEL/Fedora/CentOS linux iptales防火墻時(shí)可以正常使用NFS服務(wù)呢?

需要打開下面的端口

a] TCP/UDP 111 – RPC 4.0 portmapper

b] TCP/UDP 2049 – NFSD (nfs server)

c] Portmap 靜態(tài)端口—在/etc/sysconfig/nfs文件中定義的一系列TCP/UDP端口

按nfs默認(rèn)啟動(dòng)的話,很多服務(wù)如rpc.mounted,端口都不是固定的,這樣不方便在防火墻上進(jìn)行管理,所以我們需要把每個(gè)啟動(dòng)的服務(wù)的端口固定下來,需要做的就是編輯/etc/sysconfig/nfs文件.

# vi /etc/sysconfig/nfs 

更改下面的配置,將端口分配為一個(gè)沒被占用的

# TCP port rpc.lockd should listen on.  
LOCKD_TCPPORT=lockd-port-number  
# UDP port rpc.lockd should listen on.  
LOCKD_UDPPORT=lockd-port-number  
# Port rpc.mountd should listen on.  
MOUNTD_PORT=mountd-port-number  
# Port rquotad should listen on.  
RQUOTAD_PORT=rquotad-port-number  
# Port rpc.statd should listen on.  
STATD_PORT=statd-port-number  
# Outgoing port statd should used. The default is port is random  
STATD_OUTGOING_PORT=statd-outgoing-port-numbe 

下面是我用于測(cè)試的機(jī)器上修改的內(nèi)容

RQUOTAD_PORT=6005 
LOCKD_TCPPORT=6004 
LOCKD_UDPPORT=6004 
MOUNTD_PORT=6002 
STATD_PORT=6003 
STATD_OUTGOING_PORT=6006 

保存退出后就可以重啟nfs服務(wù),portmap服務(wù)

# service portmap restart  
# service nfs restart 

下面就是iptables方面的配置了,蚊子這里因?yàn)槭菍W(xué)習(xí),所以設(shè)置的比較嚴(yán)格,下面先說下我的環(huán)境

1,兩臺(tái)Server:192.168.211.128（nfs-server）,192.168.211.129（nfs-client）

2,nfs-server上只允許nfs,ssh的訪問,其余都拒絕

下面是我的iptables的配置

iptables -A INPUT -p tcp -s 192.168.211.0/24 –dport 22 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6002 -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6003 -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6004 -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6005 -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6006 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6002 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6003 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6004 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6005 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 6006 -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 111 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 111 -j ACCEPT  
iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 2049 -j ACCEPT  
iptables -A INPUT -p udp -m state –state NEW,ESTABLISHED,RELATED -s 192.168.211.0/24 –dport 2049 -j ACCEPT  
iptables -P INPUT DROP 

第一條就是允許連接ssh

第二條作用是在啟動(dòng)nfs的時(shí)候,nfs-server會(huì)通過本地回環(huán)接口與portmap進(jìn)行會(huì)話,所以需要允許

最后一條是設(shè)置input鏈的默認(rèn)策略為drop

中間的就是允許nfs-server相應(yīng)的端口了

如果在配置iptables的時(shí)候有問題可以使用service iptables restart重置,如果沒有問題就可以使用service iptables save保存相應(yīng)的配置,保存的配置文件放在/etc/sysconfig/iptables里.