nfs如何配置防火墻
nfs防火墻要怎么樣去配置才能發(fā)揮出最大的優(yōu)勢呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的nfs配置防火墻方法介紹!希望對你有幫助!
nfs配置防火墻方法一:
setenforce 0
systemctl stop iptables # 關(guān)閉防火墻及selinux
yum install nfs-utils -y #安裝nfs
mkdir /root/a
chmod 777 /root/a #這步不是必須的,不過可以保證a目錄是可以寫的
vim /etc/exportfs #添加共享目錄
/root/a *(rw)
systemctl start nfs #啟動(dòng)服務(wù)
nfs配置防火墻方法二:
1、使用的技術(shù)
NFS
2、測試環(huán)境
NFS服務(wù)器:192.168.255.18
NFS客戶端:192.168.255.11
操作系統(tǒng):REDHAT4
3、NFS服務(wù)器配置
(1)配置 /etc/hosts.deny
禁止任何客戶端能和你的NFS服務(wù)器進(jìn)行NFS連接:
### NFS DAEMONS
portmap:ALL
lockd:ALL
mountd:ALL
rquotad:ALL
statd:ALL
(2)配置/etc/hosts.allow
允許那些你想要的客戶端和你的NFS服務(wù)器建立連接。下列步驟將允許任何IP地址
以192.168.2開頭的主機(jī)(連接到NFS服務(wù)器上),也可以指定特定的IP地址。
### NFS DAEMONS
portmap: 192.168.255.
lockd: 192.168.255.
rquotad: 192.168.255.
mountd: 192.168.255.
statd: 192.168.255.
(3)重啟portmap
運(yùn)行 $ /etc/init.d/portmap restart 重啟portmap daemon。
(4)配置/etc/exports
NFS掛載目錄及權(quán)限由/etc/exports文件定義。比如要將我的/tmp目錄讓
192.168.255.*的IP共享, 則在該文件末尾添加下列語句:
/tmp 192.168.255.*(rw,sync,no_root_squash)
192.168.255.* 網(wǎng)段內(nèi)的NFS客戶端能夠共享NFS服務(wù)器/tmp目錄內(nèi)容,且有讀,寫
權(quán)限,并且該用戶進(jìn)入/home/zp/share目錄后的身份為root,最好加上sync,否則
$ sudo exportfs -r 時(shí)會(huì)給出警告, sync是NFS的默認(rèn)選項(xiàng)。
(5)重啟NFS服務(wù)
運(yùn)行 $ /etc/init.d/nfs-kernel-server restart 重啟nfs服務(wù))
(6)NFS服務(wù)器查看共享是否成功
$ Showmount –e 192.168.255.18
/tmp 192.168.255.*
(6)NFS客戶端啟動(dòng)NFS服務(wù)
service nfs start
(7)NFS客戶端查看服務(wù)器共享目錄
Showmount –e 192.168.255.18
(8)掛載NFS服務(wù)器共享目錄
mount –t nfs -o tcp192.168.255.18:/tmp /tmp
4、錯(cuò)誤排查
當(dāng)/etc/exports設(shè)置的權(quán)限,不符合client端的來源時(shí),則會(huì)出現(xiàn)以下錯(cuò)誤信息:
mount: hostname:/dir failed, reason given by server: Permission denied
5、NFS的一些參數(shù)
下面是一些NFS共享的常用參數(shù)(/etc/exports配置):
ro
只讀訪問
rw
讀寫訪問
sync
所有數(shù)據(jù)在請求時(shí)寫入共享
async
NFS在寫入數(shù)據(jù)前可以相應(yīng)請求
secure
NFS通過1024以下的安全TCP/IP端口發(fā)送
insecure
NFS通過1024以上的端口發(fā)送
wdelay
如果多個(gè)用戶要寫入NFS目錄,則歸組寫入(默認(rèn))
no_wdelay
如果多個(gè)用戶要寫入NFS目錄,則立即寫入,當(dāng)使用async時(shí),無需此設(shè)置。
hide
在NFS共享目錄中不共享其子目錄
no_hide
共享NFS目錄的子目錄
subtree_check
如果共享/usr/bin之類的子目錄時(shí),強(qiáng)制NFS檢查父目錄的權(quán)限(默認(rèn))
no_subtree_check
和上面相對,不檢查父目錄權(quán)限
all_squash
共享文件的UID和GID映射匿名用戶anonymous,適合公用目錄。
no_all_squash
保留共享文件的UID和GID(默認(rèn))
root_squash
root用戶的所有請求映射成如anonymous用戶一樣的權(quán)限(默認(rèn))
no_root_squash
root用戶具有根目錄的完全管理訪問權(quán)限
anonuid=xxx
指定NFS服務(wù)器/etc/passwd文件中匿名用戶的UID
anongid=xxx
指定NFS服務(wù)器/etc/passwd文件中匿名用戶的GID
注意:如果按照上面步驟不能成功,請查看兩臺機(jī)器的防火墻設(shè)置。在條件允許的
情況下,建議將防火墻關(guān)閉!
nfs配置防火墻方法三:
1,防火墻是否關(guān)閉或者開放端口;
2,selinux狀態(tài);
3,網(wǎng)絡(luò)是否可達(dá),ping一下;
4,NFS服務(wù)器設(shè)置是否正確,有沒有給客戶端所在ip段權(quán)限;
這種問題很難講是為什么,所以,最后都重新確認(rèn)一遍,各個(gè)有可能出錯(cuò)的地方。
看了“ nfs如何配置防火墻”文章的還看了:
nfs如何配置防火墻
下一篇:nmap如何繞過防火墻