CentOS/RHEL 5: NFS für Firewall konfigurieren
NFS sucht sich bei jedem Start einige Netzwerk-Ports einfach so aus. Dummerweise bekommt das die Firewall, die zwischen NFS-Server und -Client sitzt, das nicht mit. Für Redhat Linux habe ich nun einen Weg gefunden, wie man erreichen kann, dass die Ports immer gleich bleiben, ohne die init-Scripts der Dienste anzufassen (diese Tipp habe ich gefunden und gleich verworfen):
/etc/sysconfig/nfs erstellen:
# NFS port numbers
STATD_PORT=10002
STATD_OUTGOING_PORT=10003
MOUNTD_PORT=10004
RQUOTAD_PORT=10005
/etc/modprobe.conf ergänzen:
options lockd nlm_tcpport=10000 nlm_udpport=10001
Mit diesen Regeln kann man iptables klar machen, was man möchte, außerdem zeigen sie, was man in der Firewall zwischen den Rechnern freigeben muss:
iptables -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 10001 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 10002:10005 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 10002:10005 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
iptables -A OUTPUT -p tcp -m tcp --dport 111 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 111 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 2049 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 2049 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 10000 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 10001 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 10002:10005 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 10002:10005 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j REJECT --reject-with icmp-port-unreachable
Quelle: http://www.redhat.com/magazine/010aug05/departments/tips_tricks/