Quais regras do iptables são necessárias para permitir um compartilhamento do nfs no 16.04?

1

Alguém pode fornecer o texto / código exato que eu teria que adicionar ao meu arquivo /etc/iptables/rules.v4? O servidor em que estou trabalhando tem muitas regras de firewall complicadas, e determinei que é certo que o iptables impedirá a montagem do nfs, pois eu posso montar se o iptables estiver inativo. Minha versão do NFS é 4. Pelo que entendi, as portas 111 e 2049 precisam permitir o tráfego, mas sinto que não estou digitando as regras corretamente. A partilha é através de uma rede privada. O IP do compartilhamento NFS é 172.16.10.25 e o IP privado do servidor 16.04 é 172.16.10.20.

NOTA: Existem vários filtros no lugar, portanto, qualquer conselho sobre onde colocar as regras é muito apreciado.

Eu tentei estas duas respostas separadas encontradas na rede não haverá alegria.

# Portmap ports
-A INPUT -m state –state NEW -p tcp –dport 111 -j ACCEPT    
-A INPUT -m state –state NEW -p udp –dport 111 -j ACCEPT    
# NFS daemon ports    
-A INPUT -m state –state NEW -p tcp –dport 2049 -j ACCEPT    
-A INPUT -m state –state NEW -p udp –dport 2049 -j ACCEPT    

O outro é

 iptables -P INPUT DROP    
   iptables -P OUTPUT DROP    
   iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --sports 10053,111,2049,32769,875,892 -m state --state ESTABLISHED -j ACCEPT 
   iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --sports 10053,111,2049,32803,875,892 -m state --state ESTABLISHED -j ACCEPT 
   iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p udp -m multiport --dports 10053,111,2049,32769,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT 
   iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m multiport --dports 10053,111,2049,32803,875,892 -m state --state NEW,ESTABLISHED -j ACCEPT 
   iptables -I INPUT  -i lo -d 127.0.0.1 -j ACCEPT
   iptables -I OUTPUT  -o lo -s 127.0.0.1 -j ACCEPT
   iptables -L -n --line-numbers    

Usando meu próprio IP em vez do que está no exemplo acima.

    
por gormantg 18.07.2016 / 16:25

1 resposta

0

Aqui está o que funcionou para mim para os futuros usuários.

-A INPUT -s 172.16.10.25/32 -d 172.16.10.40/32 -i eth0 -p tcp --sport 111 -j ACCEPT
-A INPUT -s 172.16.10.25/32 -d 172.16.10.40/32 -i eth0 -p tcp --sport 2049 -j ACCEPT
-A INPUT -s 172.16.10.25/32 -d 172.16.10.40/32 -i eth0 -p udp --sport 111 -j ACCEPT
-A INPUT -s 172.16.10.25/32 -d 172.16.10.40/32 -i eth0 -p udp --sport 2049 -j ACCEPT
-A OUTPUT -s 172.16.10.40/32 -d 172.16.10.25/32 -o eth0 -p tcp --dport 111 -j ACCEPT
-A OUTPUT -s 172.16.10.40/32 -d 172.16.10.25/32 -o eth0 -p tcp --dport 2049 -j ACCEPT
-A OUTPUT -s 172.16.10.40/32 -d 172.16.10.25/32 -o eth0 -p udp --dport 111 -j ACCEPT
-A OUTPUT -s 172.16.10.40/32 -d 172.16.10.25/32 -o eth0 -p udp --dport 2049 -j ACCEPT

IP = 0,40 sendo cliente e 0,25 sendo o servidor. .25 sendo montado no .40. Se isso pode ser feito com menos regras, então no futuro espero que alguém encontre essa resposta.

    
por gormantg 20.07.2016 / 16:54