分类: LINUX
2009-11-11 08:53:27
Linux NFS服务 固定端口及防火墙配置
NFS服務端口的配置可以修改/etc/sysconfig/nfs服務配置文件,設立固定端口,今天又看到可以修改service 文件,但實現起來防火牆方面有點問題故重新做了下整理。
1.在LINUX上正常安装NFS服务
2.修改/etc/service,添加以下内容(端口号必须在1024以下,且未被占用)
# Local services
mountd 1011/tcp #rpc.mountd
mountd 1011/udp #rpc.mountd
rquotad 1012/tcp #rpc.rquotad
rquotad 1012/udp #rpc.rquotad
3.重起nfs服务
service nfs restart
chkconfig nfs on
4.此时rpc相关端口已经被固定,可以添加防火墙规则
主要需要開放的端口是:
[root@mail bin]# rpcinfo -p localhost
程式採用的協定連接阜
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 842 status
100024 1 tcp 845 status
100011 1 udp 1012 rquotad
100011 2 udp 1012 rquotad
100011 1 tcp 1012 rquotad
100011 2 tcp 1012 rquotad
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100021 1 udp 41790 nlockmgr
100021 3 udp 41790 nlockmgr
100021 4 udp 41790 nlockmgr
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100021 1 tcp 49287 nlockmgr
100021 3 tcp 49287 nlockmgr
100021 4 tcp 49287 nlockmgr
100005 1 udp 1011 mountd
100005 1 tcp 1011 mountd
100005 2 udp 1011 mountd
100005 2 tcp 1011 mountd
100005 3 udp 1011 mountd
100005 3 tcp 1011 mountd
111 portmapper
1012 rquotad
2049 nfs
1011 mountd
nfs,portmapper 兩個服務的端口本身就是固定的.結合其它服務編寫腳本如下
[root@mail bin]# cat openport
#!/bin/sh
# penport
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -F -t mangle
iptables -t nat -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
for TPORT in 22 25 53 110 111 1011 1012 2049 3128 10000
do
STR="iptables -A INPUT -p tcp --dport $TPORT -j ACCEPT"
eval $STR
done
for UPORT in 53 67 111 123 1011 1012 2049
do
STR="iptables -A INPUT -p udp --dport $UPORT -j ACCEPT"
eval $STR
done