使用iptables保护NFS安全

首先，默认情况下，centos/fedora的防火墙的默认策略是丢弃所有，允许指定，这的默认策略是符合生产学要的。下面我将通过合理的配置iptabels来允许外部指定的计算机访问nfs服务

1、设置共享

编辑/etc/exports文件，确定需要共享的目录，并且同时限定可以访问资源的对象

/home/loner/Public/SinaPXE 58.63.239.0/24(ro,all_squash)

2、注意共享目录的本身的权限，至少要可读

3、固定nfs服务所使用的端口，

修改/etc/sysconfig/nfs文件，在其中加入：

MOUNTD_PORT=\"4002\" STATD_PORT=\"4003\" LOCKD_TCPPORT=\"4004\" LOCKD_UDPPORT=\"4004\"

4、配置防火墙

修改该/etc/sysconfig/iptables文件，在其中加入：

-A INPUT -m state --state NEW -m tcp -p tcp --dport 2049 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 4002:4004 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport

4002:4004 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 111 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 111 -j ACCEPT

5、重新启动防火墙，启动nfs服务

service iptables restart

service nfs start

6、查看我们配置nfs使用的端口是否和我们的要求一致：

$ rpcinfo -p localhost

program vers proto port service 100000 4 tcp 111 portmapper 100000 3 tcp 111 portmapper 100000 2 tcp 111 portmapper 100000 4 udp 111 portmapper 100000 3 udp 111 portmapper 100000 2 udp 111 portmapper 100024 1 udp 57549 status 100024 1 tcp 39161 status 100011 1 udp 875 rquotad 100011 2 udp 875 rquotad 100011 1 tcp 875 rquotad 100011 2 tcp 875 rquotad 100021 1 udp 4004 nlockmgr

100021 3 udp 4004 nlockmgr 100021 4 udp 4004 nlockmgr 100021 1 tcp 4004 nlockmgr 100021 3 tcp 4004 nlockmgr 100021 4 tcp 4004 nlockmgr 100003 2 tcp 2049 nfs 100003 3 tcp 2049 nfs 100003 4 tcp 2049 nfs 100227 2 tcp 2049 nfs_acl 100227 3 tcp 2049 nfs_acl 100003 2 udp 2049 nfs 100003 3 udp 2049 nfs 100003 4 udp 2049 nfs 100227 2 udp 2049 nfs_acl 100227 3 udp 2049 nfs_acl 100005 1 udp 4002 mountd 100005 1 tcp 4002 mountd 100005 2 udp 4002 mountd 100005 2 tcp 4002 mountd 100005 3 udp 4002 mountd 100005 3 tcp 4002 mountd

7、查看我们的nfs共享目录和权限是否和我们的要求一致

# exportfs -v

/home/loner/Public/SinaPXE

58.63.239.0/24(ro,wdelay,root_squash,all_squash,no_subtree_check)

8、通过其他主机测试我们的nfs服务和防火墙设置

列出主机共享的目录和访问要求 $ showmount -e 192.168.1.10 Export list for 192.168.1.10:

/home/loner/Public/SinaPXE 58.63.239.0/24

挂在nfs共享目录到本地

# mount 192.168.1.10:/home/loner/Public/SinaPXE /mnt

9、开机挂载和自动挂载

开机挂载：

在/etc/fstab中加入相应的语句；

自动挂载：

编辑/etc/auto.master，在其中定义nfs自动挂载由那个文件控制， 如下：

# vim /etc/auto.master /nfs /etc/auto.nfs

#vim /etc/auto.nfs

pxe -ro,soft 192.168.1.10:/home/loner/Public/SinaPXE

然后重启autofs服务，这样按需挂载就完成了。