next up previous contents
Next: *NFS Client 端 KDC Up: Network File System, NFS Previous: NFS Server 架設   Contents

NFS 伺服器防火牆設定

  1. 永久增加 kerberos 服務到 firewall。
    [root@kvm5 ~]# firewall-cmd --permanent --add-service=kerberos
    success
    
  2. 永久增加 nfs 服務到 firewall。
    [root@kvm5 ~]# firewall-cmd --permanent --add-service=nfs 
    success
    
  3. 永久增加 rpc-bind 服務到 firewall。
    [root@kvm5 ~]# firewall-cmd --permanent --add-service=rpc-bind 
    success
    
  4. 永久增加 mountd 服務到 firewall。
    [root@kvm5 ~]# firewall-cmd --permanent --add-service=mountd 
    success
    
  5. **** KDC Client 端必須連線產生 keytab,所以 server 防火牆要開放 kadmind 的 ports,查到 kadmind 的 ports 有 749 及 464 兩個 ports。
    [root@kvm5 ~]# netstat -nultp | grep kadmin
    tcp        0      0 0.0.0.0:749             0.0.0.0:*               LISTEN      1511/kadmind        
    tcp        0      0 0.0.0.0:464             0.0.0.0:*               LISTEN      1511/kadmind        
    tcp6       0      0 :::749                  :::*                    LISTEN      1511/kadmind        
    tcp6       0      0 :::464                  :::*                    LISTEN      1511/kadmind        
    udp        0      0 0.0.0.0:464             0.0.0.0:*                           1511/kadmind        
    udp6       0      0 fe80::5054:ff:fedc::464 :::*                                1511/kadmind
    
  6. **** 防火牆永久開放 kadmind 的 749 及 464 兩個 ports。
    [root@kvm5 ~]# firewall-cmd --permanent --add-port=749/tcp
    success
    [root@kvm5 ~]# firewall-cmd --permanent --add-port=464/tcp
    success
    
  7. 重新載入防火牆設定。
    [root@kvm5 ~]# firewall-cmd --reload 
    success
    
  8. 列出 firewall 已新增 kerberos, nfs, rpc-bind, mountd 等服務,並且開放 749/tcp, 464/tcp 兩個 ports。
    [root@kvm5 ~]# firewall-cmd --list-all
    public (default)
      interfaces: 
      sources: 
      services: dhcpv6-client kerberos mountd nfs rpc-bind ssh
      ports: 749/tcp 464/tcp
      masquerade: no
      forward-ports: 
      icmp-blocks: 
      rich rules: 
    	rule family="ipv4" source address="192.168.122.0/24" forward-port port="80" protocol="tcp" to-port="8080"
    



De-Yu Wang 2018-09-07