Как разрешить это соединение на межсетевом экране?
Я пытаюсь подключить свой веб-сервер Ubuntu к серверу хранения Ubuntu, используя NFS (сетевая файловая система).
Но когда я пытаюсь подключить сервер хранения к веб-серверу, я получаю сообщение «Тайм-аут подключения» в журнал.
Я заглянул в журнал (/var/log/ufw.log), который говорит мне следующее:
May 19 13:56:11 storage-server kernel:
[71803.508581] [UFW BLOCK]
IN=eth1
OUT=
MAC=01:02:42:31:01:03:05:02:52:59:af:01:06:00
SRC=2.2.2.2
DST=1.1.1.1
LEN=60
TOS=0x00
PREC=0x00
TTL=64
ID=64909
DF
PROTO=TCP
SPT=818
DPT=2049
WINDOW=29200
RES=0x00
SYN
URGP=0
Как я могу разрешить это соединение, используя iptables (без открытия каких-либо других портов или любых других IP-адресов)
Я уже пытался запустить sudo iptables -A INPUT -p tcp --dport 2049 -s 2.2.2.2 -j ACCEPT, sudo iptables -L и sudo bash -c "iptables-save > /etc/iptables.conf" на моем сервере хранения данных.
Я использую Ubuntu 14.04 на обоих серверах.
У меня есть сервер хранения (IP 1.1.1.1). У меня есть свой веб-сервер (IP 2.2.2.2).
ПРИМЕЧАНИЕ. IP-адреса являются лишь примерами, а MAC-адрес был изменен
.2 ответа
А также сам порт NFS (порт 2049), я думаю, что необходимо будет открыть portmapper порт услуг (111). Я не достаточно умен для использования iptables непосредственно, таким образом, я использовал бы ufw для этого. Можно ограничить позволенный сетевой диапазон с помощью обращения CIDR, например,
sudo ufw allow from 192.168.1.0/24 to any port 111
, Если это все еще не работает, Вы, возможно, должны настроить nfs-kernel-server для использования помех RPCMOUNTDOPTS порт, как описано в Debian SecuringNFS wiki. Можно использовать rpcinfo -p для зондирования текущих сервисов / параметры порта.
Попробовать.
Изменению нравится IP и порта
sudo iptables -A INPUT -s 2.2.2.2 -p tcp --dport 2049 -j ACCEPT