RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助]NFS server 開了防火牆就無法傳輸   字型大小:||| 
colby
銅驢友〔中級〕
等級: 9等級: 9等級: 9


十週年紀念徽章(五級)  

今日心情

 . 積分: 143
 . 文章: 321
 . 收花: 1237 支
 . 送花: 11925 支
 . 比例: 9.64
 . 在線: 2747 小時
 . 瀏覽: 8004 頁
 . 註冊: 7229
 . 失蹤: 53
#1 : 2007-5-7 09:04 AM     只看本作者 引言回覆

請問有那位大大知道,當我使用NFS Server時,只要我將防火牆打開,
就會發生檔案無法傳輸的現象,可是改成"無防火牆"就可正常運作,
可是在對外網路不開放防火牆幾乎不可能,不知道有哪位大大能夠給我點提示或是有遇過相同得狀況~~!!
感激不儘~~~



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
reginald
鐵驢友〔中級〕
等級: 5等級: 5


今日心情

 . 積分: 49
 . 文章: 122
 . 收花: 290 支
 . 送花: 346 支
 . 比例: 1.19
 . 在線: 127 小時
 . 瀏覽: 2760 頁
 . 註冊: 7179
 . 失蹤: 1210
 . Tainan
#2 : 2007-5-7 01:25 PM     只看本作者 引言回覆

版主 MU : 感謝您無私的解答。

評分:+1   
因為NFS的本質,其實port不是固定的,所以firewall也不知如何開啟。

請參閱下列文章:
http://www.ascc.sinica.edu.tw/nl/93/2021/03.txt

【轉貼】=== 開始
《資訊應用》

  防火牆與NFS協同運作

    數學所 呂紹勳

      長期接觸linux的人們,相信大家對於Linux上的免費防火牆iptables
    的強大功能一定不陌生;而NFS(Network File System)是使用UNIX
    like的作業系統、分享資源最方便的方法。若是由防火牆來對NFS服
    務加以保護的話,這樣豈不是更安全?

      然而,由於NFS服務與Pormap服務的關係緊密相連,兩者缺一不可,
    也因此在防火牆的設定上便會造成了讓人困窘的情況,常常發生的
    情形是防火牆啟用後,NFS便無法正常使用。這是由於當Client端對
    NFS Server提出服務的請求時,Client端便會先去跟Portmap這個大
    總管溝通,說我現在需要NFS服務,請問我應該去跟哪個Port number
    提出需求呢?此時,Portmap這個大總管就會開始動態地分配與NFS
    服務相關的『rpc.statd』、『rpc.lockd』及『rpc.mountd』的port
    number。而後,Client端才能開始跟這些port溝通,並建立起與NFS
    Server的連線。

      藉由上面的敘述,我們可以輕易地發現,由於Portmap這個大總管
    『動態』分派port number的特性,因而我們無法在iptables中藉由
    開放某些特定port number的方法,來管控並保護NFS server,因為
    我們不知道下次Portmap會分配哪些port number出來。也因此,這
    就是困難所在,所幸筆者參考了外國的文件,終於找到了讓NFS與
    iptables協同運作的方法,並提筆撰寫此文提供有興趣的讀者參考。

      筆者的作業系統是RedHat Enterprise Linux ES 3.0版,不過我
    想在其他Redhat先前的版本上,應該也能一體適用。首先,我們必
    須將『rpc.statd』、『rpc.lockd』及『rpc.mountd』這些服務給
    予特定的port number,如此一來,我們就可利用iptables來加以限
    定。因此,請先修改『/etc/init.d/nfslock』這個檔案,找到
    『daemon rpc.statd』,而後再其後加上『-p 4000』,這樣做的目
    的,是將『rpc.statd』的port number固定為4000,如【圖一】所示。

      其次,修改『/etc/modules.conf』,在最後面加入一行『option
    lockd nlm_udpport=4001 nlm_tcpport=4001』,這樣做的目的,是
    將rpc.lockd的port number固定為4001,如【圖二】所示。

      最後,在『/etc/sysconfig』下新增一個命名為nfs的檔案,檔案
    內容為『MOUNT_PORT=4002』,正式將rpc.mountd的port number固
    定為4002。將上面的這幾個檔案修改好後,就可以開始準備修改
    iptables了。不過在此之前,我們還需要知道portmap服務的port
    number固定為111,而nfs服務的port number為2049。

      筆者習慣將iptables防火牆利用shell script的方式來加以執行,
    也因此筆者將其語法簡單的列在下面的【圖三】中,有興趣的人可
    依樣畫葫蘆一番,或直接將該內容照抄,並且在存檔後,給予執行
    的權限,如此一來,NFS便可以在iptables防火牆的保護下正常運作。

      UNIX Like的作業系統在伺服器服務(如Web、NFS、Samba等)上,
    長期以來一直為人所稱讚及使用,若是能在其上輔以iptables的防
    護,那麼伺服器的安全就更有保障了。希望筆者的這篇文章,能夠
    指引迷津,提供一個您在iptables及NFS搭配使用下的解決之道。
    (註:本文作者任職於數學所資訊室)
【轉貼】=== 結束



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
sonpp
銅驢友〔初級〕
等級: 8等級: 8


今日心情

 . 積分: 118
 . 文章: 208
 . 收花: 424 支
 . 送花: 2095 支
 . 比例: 4.94
 . 在線: 5508 小時
 . 瀏覽: 64232 頁
 . 註冊: 8179
 . 失蹤: 26
#3 : 2008-1-17 10:54 AM     只看本作者 引言回覆

應該有更簡單的方法吧..
再去買一張網卡..
一個網卡給內部網路..一個給外部網路..
內部網路用虛擬IP..你應該知道誰會用NFS吧..
應該大致上都可以解決吧..參考看看吧..



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-22 12:06 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.022857 second(s), 7 queries , Qzip disabled