В този урок ще се съсредоточим върху основните мрежови концепции на NFS, по -специално портовете, използвани от NFS услугите. След като разберем конкретните портове и услуги на споделянето на NFS, можем да ги използваме за конфигуриране на мерки за сигурност като защитни стени и отстраняване на неизправности.
Как работи NFS
По време на писането на тази статия има три версии на NFS. NFS v2 е най -старият и най -широко поддържаният.
NFS v3 е по -нов от NFS V2 и предлага повече функции като обработка на променлив размер, подобрено отчитане на грешки и т.н. NFS v3 обаче не е съвместим с клиенти на NFS v2.
Най -новата версия на NFS v4 предоставя нови и подобрени функции. Те включват операции със състояние, обратна съвместимост с NFS v2 и NFS v3, премахнато изискване за карти на портове, междуплатформена оперативна съвместимост, по-добра обработка на пространството от имена, вградена защита с ACL и Kerberos.
Следва сравнение на NFS v3 и NFS v 4.
| Отличителен белег | NFS v3 | NFS v4 |
| Транспортен протокол | TCP и UDP | Само UDP |
| Обработка на разрешения | Unix | Базиран на Windows |
| Метод за удостоверяване | Auth_Sys - По -слаб | Kerberos (силен) |
| Личност | Без гражданство | Състояние |
| Семантика | Unix | Unix и Windows |
Таблицата по -горе показва някои от функциите на NFS протокол 4 срещу NFS протокол 3. Ако искате да научите повече, помислете за официалния документ, предоставен по -долу:
https://datatracker.ietf.org/doc/html/rfc3530
NFS v4 не използва портмапър и услугите, изисквани от NFS V2 и V3, не са необходими. Следователно в NFS v4 е необходим само порт 2049.
NFS v2 и v2 обаче изискват допълнителни портове и услуги, които ще обсъдим в този урок.
Необходими услуги (NFS v2 и V3)
Както бе споменато, NFS v2 и v3 използват услугата portmap. Услугата portmap в Linux обработва Remote Procedure Calls, които NFS (v2 и v3) използва за кодиране и декодиране на заявки между клиента и сървърите.
За прилагане на споделяне на NFS са необходими следните услуги. Имайте предвид, че това е само за NFS v2 и v3.
- Portmapper
- Маунтд
- Nfsd
- Заключен
- Statd
#: Portmapper
Услугата Portmapper е необходима за стартиране на NFS както от страна на клиента, така и от страна на сървъра. Той работи на порт 111 за TCP и UDP протоколи.
Ако внедрявате защитна стена, уверете се, че този порт е разрешен за входящи и изходящи пакети.
#: Mountd
Другата услуга, необходима за стартиране на NFS, е демонът mountd. Тази услуга работи на NFS сървър и се използва за обработка на заявки за монтиране от NFS клиенти. Той се обработва главно от услугата nfsd и не изисква потребителска конфигурация.
Можете обаче да редактирате конфигурацията, за да зададете статичен порт във файла/etc/sysconfig/nfs. Намерете / и задайте:
MOUNTD_PORT=[пристанище]#: NFSD
Това е демонът на NFS, който работи на NFS сървъри. Това е критична услуга, която работи с ядрото на Linux, за да осигури функционалност като сървърни нишки за всички клиенти, свързани към сървъра.
По подразбиране демонът на NFS вече е конфигуриран да изпълнява статичен порт от 2049. Портът е валиден както за TCP, така и за UDP протоколи.
#: Lockd & Statd
Демонът на NFS Lock Manager (lockd) и демонът на Status Manager (statd) са други услуги, необходими за стартиране на NFS. Тези демони се изпълняват от страна на сървъра и на страната на клиента.
Демонът lockd позволява на NFS клиентите да заключват файлове на NFS сървъра.
От друга страна, демонът statd е отговорен за уведомяването на потребителите, когато NFS сървърът се рестартира без грациозно изключване. Той внедрява RPC протокола за мониторинг на състоянието на мрежата.
Въпреки че и двете услуги се стартират автоматично от услугата nfslock, можете да ги конфигурирате да изпълняват статичен порт, което може да бъде полезно в конфигурациите на защитната стена.
Задайте статичен порт за демони statd и lockd, редактирайте/etc/sysconfig/nfs и въведете следните записи.
STATD_PORT=[пристанище]LOCKD_TCPPORT=[пристанище]
LOCKD_UDPPORT=[пристанище]
Бързо обобщение
Нека да разгледаме едно кратко резюме на това, което току -що разгледахме.
Ако използвате NFS v4, всичко, от което се нуждаете, е да разрешите порт 2049. Ако обаче използвате NFS v2 или v3, трябва да редактирате файла/etc/sysconfig/nfs и да добавите портовете за следните услуги.
- Mountd - MOUNTD_PORT = порт
- Statd - STATD_PORT = порт
- LOCKD - LOCKD_TCPPORT = порт, LOCKD_UDPPORT = порт
И накрая, трябва да се уверите, че демонът на NFSD работи на порт 2049, а картографът на порт на порт 111
ЗАБЕЛЕЖКА: Ако файлът/etc/sysconfig/nfs не съществува, създайте го и добавете записите, посочени в урока.
Можете също да проверите/var/log/messages, ако услугата NFS не стартира правилно. Уверете се, че посочените от вас портове не се използват.
Пример за конфигуриране
По -долу е дадена конфигурационна настройка на NFS сървъра на сървър CentOS 8.
След като редактирате конфигурацията и добавите необходимите портове, както е обсъдено в урока, рестартирайте услугата като:
sudosystemctl стартира nfs-server.serviceСлед това потвърдете, че услугата работи с помощта на командата:
sudosystemctl статус nfs-server.service 
И накрая, потвърдете работещите портове с помощта на rpcinfo, както е показано в командата по -долу:
sudorpcinfo-стр 
Заключение
Този урок обсъжда мрежовите основи на протокола NFS и портовете и услугите, необходими за NFS v2, v3 и v4.
Благодарим ви за четенето и бъдете горд отрепка!