NFS + Iptables

Чтобы узнать какие порты TCP и UDP используются, дайте команду rpcinfo -p. Надо разрешить, а то монтирования не будет...

К сожалению, по дефолту, порты только для rpc.nfsd точно известны, для остальных компонент NFS (mountd, quotad, lockd, statd) они назначаются как попало (чтобы убедиться rpcinfo -p && service nfsd restart && rpcinfo -p). Нужно в параметрах ядра (append="" в лило) указать статические порты, утянуть и поставить свежие утилиты, и пофиксить скрипты запуска nfs и nfslock, добавив опции для привязки к статическим портам (нужно еще пофиксить /etc/services), но это на сервере (конкретной ссылки на доку не помню, но подробную инструкцию могу организовать). На клиенте точно должен жить TCP/UDP 111 порт для RPC и, поскольку неизвестно на какие порты прибиндятся компоненты NFS, должен быть полностью открыт UDP.

Спасибо, я настроил по совету wildhoney, но о том, что порты динамические узнал только от login, проверять не стал, т.к. не желательно останавливать сервис. Я посмотрел по манам своей системы и там говорится, что mountd & statd могут запускаться с жестким привязыванием портов. Я вот только не совсем понял зачем нужно передавать параметр ядру append, что именно в нем указывать, и что надо подправить в /etc/services. Буду рад за пояснения, еще раз спасибо за помощь!

Останов NFS на короткое время никаких проблем не вызовет, клиенты могут даже незаметить этого (см опции hard, soft для NFS в man mount)

Перечислю что чем настраивается: сервис (порт) - где_копать

>portmap (111) - фиксирован

>statd (RND) - /etc/init.d/nfslock

>nfsd (2049) - фиксирован

>lockd (RND) - параметры ядра или модуля

>mountd (RND) - /etc/sysconfig/nfs

>rquotad (RND) - обновить quota и /etc/rpc /etc/services

Для mountd в файле /etc/sysconfig/nfs написать MOUNTD_PORT=уууу

Основная проблема с lockd и rquotad.

lockd лечится передачей параметров ядру (если NFS жестко вкомпилен) или модулю параметров (см доку по параметрам ядра). Для ядра добавить в /etc/lilo.conf:

>APPEND="lockd.tcpport=xxxx lockd.udpport=xxxx".

А для модуля в /etc/modules.conf добавить:

>options lockd nlm_udpport=xxxx nlm_tcpport=xxxx

Вроде так, но с модулями не пробовал

rquotad - нужно скачать исходники или свежий RPM (ver >= 3.08) c http://sourceforge.net/projects/linuxquota или у дистрибутора, установить. В фйле /etc/rpc проверить наличие:

>rquotad 100011 rquotaprog quota rquota

В файле /etc/services сделать строчки:

>rquotad xxxx/tcp >rquotad xxxx/udp

В /etc/services можно проверить на соответствие все назначаемые NFS порты и при необходимости исправить, потом самому понятней будет что открыто, а то годать придется через полгода

Для работы через iptables нужно открыть 111 порт по TCP и UDP, остальные только по UDP (NFS через TCP появился в последних ядрах, если он используется, то можно прикрыть 2049 UDP и его же открыть на TCP, но это я не пробовал)