关于限制某个IP对NFS的访问

星玫1999

在做NFS实验的时候发现一个奇怪的问题，就是限制某个IP 192.168.0.8对NFS的访问时，采用在/etc/hosts.deny中加如下的语句是无效的(/etc/hosts.allow中没有与portmap相关的内容)：
   portmap : 192.168.0.8
从这个IP上能依旧mount nfs server上的内容。
而在/etc/hosts.deny中实验如下几条语句都是有效的：
   portmap: ALL
或者portmap: ALL EXCEPT 192.168.0.8
那么为什么限制单独的IP时会不起作用呢？真是奇怪，有人说NFSv4是和portmap没有关系了，那样为什么后面实验的两条语句都是起作用的呢？期待高人解答

kissingwolf

Post by 星玫1999;1862719
在做NFS实验的时候发现一个奇怪的问题，就是限制某个IP 192.168.0.8对NFS的访问时，采用在/etc/hosts.deny中加如下的语句是无效的(/etc/hosts.allow中没有与portmap相关的内容)：
   portmap : 192.168.0.8
从这个IP上能依旧mount nfs server上的内容。
而在/etc/hosts.deny中实验如下几条语句都是有效的：
   portmap: ALL
或者portmap: ALL EXCEPT 192.168.0.8
那么为什么限制单独的IP时会不起作用呢？真是奇怪，有人说NFSv4是和portmap没有关系了，那样为什么后面实验的两条语句都是起作用的呢？期待高人解答

这个和portmap和nfs没有关系，原因是host access的问题。
默认你在host.allow里明确的允许是没有任何作用的，因为host access默认是Allow ALL ！你必须在hosts.deny里明确的禁止，hosts.allow中才会有作用！
麻烦提问前先man 一下！

星玫1999

非常感谢您的及时回答，但是我想你没有看清楚我的问题：我的问题就是在hosts.deny文件中明确的禁止单个IP时不起作用。而且在hosts.allow文件中并没有明确的允许它。

kissingwolf

请详细告知你使用的系统版本( 发行版、kernel 、是否做过更改），试验步骤，测试机ip ,被测试机ip. NFS 版本（v3 、v4 、 v3 and v4 ) 和使用协议( udp , tcp ) , 是否使rpc.mount 或其它rpc绑定固定端口。

星玫1999

问题解决了，之前用的是RHEL4U6的版本，后来在RHEL5上试就没有什么问题了。

xiaorui

LZ 使用TCP WARPPER
这个工具不错。

qsblj

事实上将deny的信息都写在host.allow里面也是可以的。

sshd : your IP : allow
sshd : ALL : deny

marsaber

hosts.allow的权限大于hosts.deny。

etc/hosts.allow中没有与portmap相关的内容，也就意味着允许所有的连接。

think365

Post by 星玫1999;1863526
问题解决了，之前用的是RHEL4U6的版本，后来在RHEL5上试就没有什么问题了。

原来是系统Bug啊。
这些东东一般人就没法子了

Duba

我还是喜欢iptables过滤端口