4.11. Configurando o servidor NFS para rodar atrás de um firewall

Procedimento

1. Para permitir que os clientes acessem compartilhamentos NFS atrás de um firewall, defina em quais portas os serviços RPC rodam na seção [mountd] do arquivo /etc/nfs.conf:

   [mountd]
   
   port=port-number

   Copy to Clipboard Toggle word wrap

   Isto acrescenta o -p port-number opção para a linha de comando rpc.mount rpc.mount -p port-number.

2. Para permitir que os clientes acessem compartilhamentos NFS atrás de um firewall, configure o firewall executando os seguintes comandos no servidor NFS:

   firewall-cmd --permanent --add-service mountd
   firewall-cmd --permanent --add-service rpc-bind
   firewall-cmd --permanent --add-service nfs
   firewall-cmd --permanent --add-port=<mountd-port>/tcp
   firewall-cmd --permanent --add-port=<mountd-port>/udp
   firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

   Nos comandos, substitua <mountd-port> pela porta pretendida ou um intervalo de portas. Ao especificar um intervalo de portas, use a sintaxe --add-port=<mountd-port>-<mountd-port>/udp.

3. Para permitir que NFSv4.0 callbacks passem por firewalls, configure /proc/sys/fs/nfs/nfs_callback_tcpport e permita que o servidor se conecte a essa porta no cliente.

   Esta etapa não é necessária para o NFSv4.1 ou superior, e os outros portos para mountd, statd e lockd não são necessários em um ambiente NFSv4 puro.

4. Para especificar as portas a serem utilizadas pelo serviço de RPC nlockmgr, defina o número da porta para as opções nlm_tcpport e nlm_udpport no arquivo /etc/modprobe.d/lockd.conf.

5. Reinicie o servidor NFS:

   #  systemctl restart nfs-server

   Copy to Clipboard Toggle word wrap

   Se a NFS não conseguir iniciar, verifique /var/log/messages. Geralmente, o NFS não inicia se você especificar um número de porta que já esteja em uso.

6. Confirmar que as mudanças entraram em vigor:

   # rpcinfo -p

   Copy to Clipboard Toggle word wrap