iptables vs. NFS: как впихнуть невпихуемое
Несколько лет назад передо мной встал вопрос, как же протащить NFS через фаервол, не открывая все и вся? В то время решение найдено не было, и я отказался от использования NFS в пользу безопасности.
Суть проблемы: rpcbind висит на динамических портах и скачет по ним, как б-г на душу положит, поэтому открытие 2-3 портов не решало проблему.
Все, как всегда, оказалось просто: надо только зафиксировать порты, используемые rpcbind и счастье резко и неотвратимо наступит.
В файле /etc/sysconfig/nfs раскоментировать (или добавить) следующие строчки:
# # Optional arguments passed to in-kernel lockd #LOCKDARG= # TCP port rpc.lockd should listen on. LOCKD_TCPPORT=32803 # UDP port rpc.lockd should listen on. LOCKD_UDPPORT=32769
После чего открываем порты на фаерволе порты tcp:32803, udp:32769, tcp:2049, udp:2049 и наслаждаемся работающим NFS.