Basta eseguire il seguente comando:

rpcinfo -p localhost

per visualizzare una cosa del genere:

program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100003    4   tcp   2049  nfs
    100227    2   tcp   2049
    100227    3   tcp   2049
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    4   udp   2049  nfs
    100227    2   udp   2049
    100227    3   udp   2049
    100021    1   udp  32771  nlockmgr
    100021    3   udp  32771  nlockmgr
    100021    4   udp  32771  nlockmgr
    100021    1   tcp  32771  nlockmgr
    100021    3   tcp  32771  nlockmgr
    100021    4   tcp  32771  nlockmgr
    100005    1   udp  32032  mountd
    100005    1   tcp  32032  mountd
    100005    2   udp  32032  mountd
    100005    2   tcp  32032  mountd
    100005    3   udp  32032  mountd
    100005    3   tcp  32032  mountd

Bene, le porte sono la 111 tcp/upd, la 2049 tcp/upd, la 32771 tcp/udp e la 32032 tcp/udp.

Se però provate a riavviare il servizio NFS, vi accorgerete che le porte per nlockmgs e mountd cambiano.

Come impostarle fisse in modo da sapere esattamente quali aprire nel firewall del server ma anche del client?

Per il lock manager, modifichiamo il file /etc/sysctl.conf, aggiungendo le righe:

#NFS lock port
fs.nfs.nlm_udpport=32771
fs.nfs.nlm_tcpport=32771

e poi ricaricando le modifiche:

sysctl -p

In alcune distro, è necessario invece modificare il file /etc/modprobe.d/local.conf, aggiungendo la riga:

options lockd nlm_udpport=32771 nlm_tcpport=32771

Per il mountd (che attende le richieste di mount) modifichiamo il file /etc/default/nfs-kernel-server forzando l’uso di una sola porta modificando il parametro RPCMOUNTDOPTS come segue:

RPCMOUNTDOPTS="--port 32032"

Per gestire anche la porta per lo status monitor, bisogna modificare il file /etc/default/nfs-common ed in particolare il parametro STATDOPTS come segue:

STATDOPTS="--port 32111"

Bene, se avete seguito la mia configurazione, le porte da aprire saranno sempre la 111 tcp/udp, la 2049 tcp/udp, la 32771 tcp/udp e la 32032 tcp/udp.

Nota: Per gli utilizzatori di Apf Firewall, consiglio di controllare la direttiva BLK_PORTS perché la porta 111 viene bloccata di default.

enjoy!

Prendiamo ad esempio una Linux Box che funge da firewall con IP pubblico (eth0 sulla rete esterna ed eth1 su quella interna) e tramite cui vorremmo permettere dall’esterno di raggiungere i servizi di un host interno alla rete.

internet –> firewall:1080 –> Host interno:80
x.x.x.x –> 212.30.30.30 –> 10.109.10.10

Ad esempio all’interno della rete c’è un host che gestisce un servizio web sulla classica 80 e vogliamo rendere raggiungibile il servizio anche all’esterno. Potremmo configurare il firewall per inoltrare le richieste alla porta 1080 verso la porta 80 dell’host interno.

Innanzitutto bisogna decommentare nel file /etc/sysctl.conf la riga:

net.ipv4.ip_forward=1

e ricaricare le impostazioni:

sysctl -p

Successivamente, se utilizziamo il nostro fidato apf-firewall, possiamo aggiungere nel file postroute.rules la direttiva:

$IPT -t nat -A POSTROUTING -o eth1 -j MASQUERADE

e poi nel file preroute.rules la direttiva:

$IPT -t nat -A PREROUTING -p tcp --dport 1080 -i eth0 -j DNAT --to-destination 10.109.10.10:80

e riavviare:

/etc/init.d/apf

In alternativa, se vogliamo farlo manualmente, possiamo inserire in un nostro script da avviare al boot, le seguenti righe:

/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 1080 -i eth0 -j DNAT --to-destination 10.109.10.10:80

enjoy!

Basta aggiungere l’IP da cui accettare le connessioni nel file allow_hosts.rules, es:

10.20.36.65

e poi bloccare tutti gli altri dal file deny_hosts.rules:

0/0

enjoy!

In particolare, NFS viene esportato sulle porte 111 (tcp/udp) e 2049 (udp) e poi altre due porte random per nlockmgr e mountd. Per fissare quest’ultime due porte, bisogna:

modificare il file /etc/modprobe.d/local.conf inserendo:

options lockd nlm_udpport=32768 nlm_tcpport=32768
options nfs callback_tcpport=32764

modificare il file /etc/default/nfs-kernel-server inserendo:

RPCMOUNTDOPTS="-p 32767 --manage-gids"

modificare il file /etc/default/nfs-common insedendo:

STATDOPTS="--port 32765 --outgoing-port 32766"

Bene, ora le porte da aprire nel firewall (sia udp che tcp) sono:
111
2049
32764
32765
32766
32767
32768

enjoy!

iptables -t nat -A PREROUTING -p tcp -d 10.109.7.100 -j REDIRECT

basterà aprire il file /etc/apf/preroute.rules e scrivere come ultima riga:

$IPT -t nat -A PREROUTING -p tcp -d 10.109.7.100 -j REDIRECT

Ora riavviate il apf e controllate che la nuova regola sia stata caricata con:

/etc/init.d/apf restart
iptables -L -t nat