Nfs Shoumount не соединяется

[Dr_Arut]

Здравствуйте, в общем довольно странная ситуация. Есть удалённый сервер на CentOS 7 (в дальнейшем в тексте У7), есть локальный сервер CentOS 6 (в дальнейшем в тексте Л6), есть два компа в локальной сети, один с CentOS 7 (в дальнейшем в тексте Л7) второй убунту. На У7 поднял nfs сервер, всё настроил, если в консоли набрать showmount -e IP-У7 то показывает расшаренную папку. Если с Л6 сервера набирать ту же команда, пишет

Код: Выделить всё

clnt_create: RPC: Port mapper failure - Timed out

Л7 и убунту выходят в сеть через Л6. Если на Л7 или убунту в консоли набираю

Код: Выделить всё

showmount -e IP-У7

то опять нормально показывает расшаренную папку. Подумал что Л6 глючит, но установил на Л7 nfs сервер, настроил и набрав в консоли Л6

Код: Выделить всё

showmount -e IP-Л7

увидел расшаренную папку.
Т.е. получается Л6, Л7 и Убунту имеют одинаковый внешний IP, но к У7 подключается только два компа, хотя Л6 который по nfs не подключается к У7 нормально подключается к Л7.
В какую сторону копать? Что смотреть? Какие диагностические команды набрать?
Заранее благодарю.

[Bizdelnick]

Я бы начал с настроек файрвола на Л6.

[Dr_Arut]

Я бы начал с настроек файрвола на Л6.

В общем отключил файрвол на Л6 и нормально заработало. Вот что показывает iptables -L

Код: Выделить всё

Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
REJECT     tcp  --  anywhere             anywhere            tcp flags:SYN,ACK/SYN,ACK state NEW reject-with tcp-reset
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       all  --  loopback/8           anywhere
DROP       all  --  link-local/16        anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:bootps dpt:bootpc
ACCEPT     tcp  --  anywhere             ip-17.bb.netbynet.ru tcp dpt:http
ACCEPT     tcp  --  anywhere             ip-17.bb.netbynet.ru tcp dpt:https
ACCEPT     udp  --  anywhere             ip-17.bb.netbynet.ru udp dpt:openvpn
ACCEPT     tcp  --  anywhere             ip-17.bb.netbynet.ru tcp dpt:openvpn
ACCEPT     tcp  --  anywhere             ip-17.bb.netbynet.ru tcp dpt:EtherNet/IP-1
ACCEPT     tcp  --  anywhere             ip-17.bb.netbynet.ru tcp dpt:51413
ACCEPT     udp  --  anywhere             ip-17.bb.netbynet.ru udp dpt:51413
ACCEPT     gre  --  anywhere             ip-17.bb.netbynet.ru
ACCEPT     tcp  --  anywhere             ip-17.bb.netbynet.ru tcp dpt:pptp
ACCEPT     udp  --  anywhere             anywhere            udp dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:65535 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             10.0.0.2         tcp dpt:60002
ACCEPT     tcp  --  anywhere             10.0.0.2         tcp dpt:60002
ACCEPT     tcp  --  anywhere             10.0.0.2         tcp dpt:60002
ACCEPT     tcp  --  anywhere             10.0.0.2         tcp dpt:60002
ACCEPT     udp  --  anywhere             10.0.0.2         udp dpt:60002
ACCEPT     udp  --  anywhere             10.0.0.2         udp dpt:60002
ACCEPT     udp  --  anywhere             10.0.0.2         udp dpt:60002
ACCEPT     udp  --  anywhere             10.0.0.2         udp dpt:60002
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootpc dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:bootpc dpt:bootps
ACCEPT     tcp  --  ip-17.bb.netbynet.ru  anywhere            tcp spt:http
ACCEPT     tcp  --  ip-17.bb.netbynet.ru  anywhere            tcp spt:https
ACCEPT     udp  --  ip-17.bb.netbynet.ru  anywhere            udp spt:openvpn
ACCEPT     tcp  --  ip-17.bb.netbynet.ru  anywhere            tcp spt:openvpn
ACCEPT     tcp  --  ip-17.bb.netbynet.ru  anywhere            tcp spt:EtherNet/IP-1
ACCEPT     tcp  --  ip-17.bb.netbynet.ru  anywhere            tcp spt:51413
ACCEPT     udp  --  ip-17.bb.netbynet.ru  anywhere            udp spt:51413
ACCEPT     gre  --  ip-17.bb.netbynet.ru  anywhere
ACCEPT     tcp  --  ip-17.bb.netbynet.ru  anywhere            tcp spt:pptp
ACCEPT     all  --  anywhere             anywhere

Chain DROP-lan (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Вроде ничего подозрительного нет. Если правильно понимаю необходимо смотреть секцию OUTPUT? Или запрос до У7 доходит, а ответ может Л6 уже не пропустить через файрвол?

[Bizdelnick]

Я бы попробовал в таблице INPUT вот отсюда

Код: Выделить всё

ACCEPT     udp  --  anywhere             anywhere            udp dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:65535 state RELATED,ESTABLISHED

убрать ограничения по портам.
А вообще по iptables -L гадать не умею, покажите лучше iptables-save.

[Dr_Arut]

А вообще по iptables -L гадать не умею, покажите лучше iptables-save.

Код: Выделить всё

*nat
:PREROUTING ACCEPT [47835:6173180]
:INPUT ACCEPT [46898:6022259]
:OUTPUT ACCEPT [4791:355732]
:POSTROUTING ACCEPT [2749:193287]
-A PREROUTING -d 172.217.20.206/32 -p tcp -m tcp --dport 60002 -j DNAT --to-destination 10.0.0.2:60002
-A PREROUTING -d 172.217.20.206/32 -p udp -m udp --dport 60002 -j DNAT --to-destination 10.0.0.2:60002
-A POSTROUTING -o tun+ -j ACCEPT
-A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.2/32 -p tcp -m tcp --dport 60002 -j SNAT --to-source 10.0.0.1
-A POSTROUTING -s 10.0.99.0/24 -d 10.0.0.2/32 -p tcp -m tcp --dport 60002 -j SNAT --to-source 10.0.99.8
-A POSTROUTING -s 10.0.2.0/24 -d 10.0.0.2/32 -p tcp -m tcp --dport 60002 -j SNAT --to-source 10.0.2.1
-A POSTROUTING -s 10.0.3.0/24 -d 10.0.0.2/32 -p tcp -m tcp --dport 60002 -j SNAT --to-source 10.0.3.1
-A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.2/32 -p udp -m udp --dport 60002 -j SNAT --to-source 10.0.0.1
-A POSTROUTING -s 10.0.99.0/24 -d 10.0.0.2/32 -p udp -m udp --dport 60002 -j SNAT --to-source 10.0.99.8
-A POSTROUTING -s 10.0.2.0/24 -d 10.0.0.2/32 -p udp -m udp --dport 60002 -j SNAT --to-source 10.0.2.1
-A POSTROUTING -s 10.0.3.0/24 -d 10.0.0.2/32 -p udp -m udp --dport 60002 -j SNAT --to-source 10.0.3.1
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun  5 16:35:45 2017
# Generated by iptables-save v1.4.7 on Mon Jun  5 16:35:45 2017
*mangle
:PREROUTING ACCEPT [129294:80380005]
:INPUT ACCEPT [87299:17039705]
:FORWARD ACCEPT [41994:63340244]
:OUTPUT ACCEPT [85447:39515087]
:POSTROUTING ACCEPT [127449:102857211]
COMMIT
# Completed on Mon Jun  5 16:35:45 2017
# Generated by iptables-save v1.4.7 on Mon Jun  5 16:35:45 2017
*filter
:INPUT DROP [316:44079]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:DROP-lan - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -s 127.0.0.0/8 -i eth0 -j DROP
-A INPUT -s 169.254.0.0/16 -i eth0 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i pptp+ -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A INPUT -i wlan1 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 2020 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p udp -m udp --dport 2020 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p gre -j ACCEPT
-A INPUT -d 172.217.20.206/32 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o eth1 -p tcp -m tcp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o eth2 -p tcp -m tcp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o wlan0 -p tcp -m tcp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o wlan1 -p tcp -m tcp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o eth1 -p udp -m udp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o eth2 -p udp -m udp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o wlan0 -p udp -m udp --dport 60002 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -o wlan1 -p udp -m udp --dport 60002 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -i wlan0 -j ACCEPT
-A FORWARD -i wlan1 -j ACCEPT
-A FORWARD -i pptp+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o pptp+ -j ACCEPT
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -o wlan0 -j ACCEPT
-A OUTPUT -o wlan1 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 443 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 2020 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p udp -m udp --sport 2020 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p udp -m udp --sport 1194 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 1194 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 2222 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 51413 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p udp -m udp --sport 51413 -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p gre -j ACCEPT
-A OUTPUT -s 172.217.20.206/32 -o eth0 -p tcp -m tcp --sport 1723 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A DROP-lan -j DROP
COMMIT
# Completed on Mon Jun  5 16:35:45 2017

[Bizdelnick]

Я правильно понимаю, что подключение к У7 идёт через eth0?
Что-то там странное в OUTPUT, куча правил с -o eth0 -j ACCEPT, после которых

Код: Выделить всё

-A OUTPUT -o eth0 -j ACCEPT

С тем жеуспехом можено политику выставить ALLOW и вообще все правила грохнуть.
У7 случайно не в 169.254.0.0/16?
Ну и вот отсюда

Код: Выделить всё

-A INPUT -i eth0 -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

я бы таки убрал --dport.

[Dr_Arut]

Я правильно понимаю, что подключение к У7 идёт через eth0?

Да правильно

У7 случайно не в 169.254.0.0/16?

Нет, я вообще не знаю откуда этот IP

Я бы таки убрал --dport.

Дело в том что на Л6 система на основе Centos 6, если быть точным это ClearOS 6, и там весь iptables переделан. В /etc/sysconfig/iptables ничего писать нельзя, так как оттуда он ничего не берёт. У него свои конфиг файлы и раскиданы фиг знает где.
В общем я поковыряв пришёл к выводу что во время команды showmoun -e У7 запрос нормально до У7 доходит и порт каждый раз разный. И ответ У7 отправляет Л6 на тот же порт с которого приходит запрос. Т.е. в идеале мне нужно для команды showmoun -e У7 прописать статический порт, случайно не знаете как это сделать? Я этот порт открою и всё заработает нормально (теоретически). Если большой диапазон портов открываю, например, 1-65000, то при команде showmoun -e У7 соединение происходит нормально.

[Bizdelnick]

Нет, я вообще не знаю откуда этот IP

Туплю, это же link-local.

Дело в том что на Л6 система на основе Centos 6, если быть точным это ClearOS 6, и там весь iptables переделан. В /etc/sysconfig/iptables ничего писать нельзя, так как оттуда он ничего не берёт. У него свои конфиг файлы и раскиданы фиг знает где.

Там вроде было что-то вроде system-config-firewall, не?

во время команды showmoun -e У7 запрос нормально до У7 доходит и порт каждый раз разный

Раз так, он наверняка непривилегированный? В таком случае прописывать ничего дополнительно не надо.

[Dr_Arut]

Там вроде было что-то вроде system-config-firewall, не?

Да, он самый.

Раз так, он наверняка непривилегированный?

Ну порты от 700 до 900, в общем рутовские.

[Dr_Arut]

В общем чтоб себе голову не ломать поступил проще, открыл все порты на Л6 для IP сервера У7. Вроде хорошо работает.

[Dr_Arut]

Заметил что скрипты php с файлами через NFS не работают (не могут читать). Кто-то с этим сталкивался? Вылечить можно?

[Bizdelnick]

Заметил что скрипты php с файлами через NFS не работают (не могут читать). Кто-то с этим сталкивался? Вылечить можно?

Проверяйте контексты selinux. Возможно, ещё какие-то булеаны включить надо.

[Dr_Arut]

Заметил что скрипты php с файлами через NFS не работают (не могут читать). Кто-то с этим сталкивался? Вылечить можно?

Проверяйте контексты selinux. Возможно, ещё какие-то булеаны включить надо.

Selinux отключен.