关于阿里云，腾讯云等ESC服务器中Linux基础服务搭建中防火墙以及端口的一些解释yy150122的博客-阿里云服务器

写这篇博客的主要目的就是想和和我一样刚开始学习Linux的小伙子们一些关于视频以及其他文字教程中所谓的开始第一步，关闭防火墙与SElinux的一些想法与见解，以及解决一些让很多初学Linux，但是又在使用阿里云与腾讯云的ESC服务器的同学们经常感到抓耳挠腮的报错问题，有说错的地方，希望大家多多担待，也给我留言，让我明白他们的真正含义

先简单写一下关于NFS服务器搭建中的一些问题，从问题中寻找答案

首先要知道在我们搭建这些服务器的时候，对我们最大的阻碍就是SELinux与防火墙，我们先从这两点开始说起
SE Linux是美国国家安全局开发的Linux安全模块，它在本来已经很安全的Linux上，凌驾于root权限之上，设置了很多额外的条条框框；
如果你了解这些条条框框，那还好；但如果不了解，那SELinux可能并没有帮什么忙，却给你带来了很多不确定因素，通俗来讲， 把它关了就好，在刚开始学Linux这个东西对我们没有一点作用，所以我们在搭建这些Samba，FTP，NFS服务的时候，首先就要做到把它先关闭。
vim /etc/sysconfig/selinux 命令进入SELinux的配置文件，把SELINUX=disabled这一句设置好了，他就干干净净的从你的世界消失了，再也没有他的打扰。

接下来第二个困扰便是防火墙，这个东西更加头疼，如果你是虚拟机搭建 ，没有太大的安全隐患，直接iptables -F
或者 systemctl stop firewalld.service 关了就好。
但是如果在比如阿里云，华为云，腾讯云这上面的服务器来说，就有一定的安全隐患了，而且直接把它关了也很令人不爽，你如果到了企业工作，不能也直接把企业的防火墙关了吧。
所以说，我们还是老老实实的学一下关于防火墙的一点东西吧
首先，为什么我在刚才说需要 iptables -F或者systemctl stop firewalld.service这么两个命令呢？
这是因为在Linux中有两种防火墙软件，CentOS7.0以上使用的是firewall，CentOS7.0以下使用的是iptables，有一个就好。
对于防火墙，我们该如何理解呢？
这样举个例子吧，有一个男孩喜欢一个女孩，那她怎么才能追到这个女孩呢？很简单，让这个女孩喜欢他就好了，这就是男追女，隔座山；女追男，隔层纱的意思，我们把服务器端(Server)比作男孩，客户端(Client)比作女孩，他们之间要想相互通信，就得有连接啊，但是很遗憾，防火墙就像女孩的父亲一样隔在你和女孩之间，如果你一味的去追女孩，因为有防火墙的存在，你是不可能建立联系的，这就好比FTP服务器的主动模式与被动模式，我们可以控制自己服务器的防火墙，但是却不能控制客户端的防火墙，而客户端也有可能对防火墙不太理解，你不能强迫人家说：你要想连接，去吧防火墙关了，或者开端口。这些对于非专业人士来说，是很难办到的。所以我们就有让我们自己的服务器开启相应的端口，让我们被动，我们去接客户端传来连接请求。这样女孩的父亲也管不住了，你们就可以完美的建立联系。
所以，对于阿里云这些服务器，他的公网IP会映射到内网上，也就是你的私有IP，阿里云的环境需要开启被动模式，公网共享，否则连接不到服务器。
对于端口，他就是好像在防火墙上的一扇窗，通过特定开放的端口就可以进行连接，所以你也可以使用公网IP加端口(47.95.1.123:21)这样来链接，我们在服务器端需要把服务的每一个端口都开启，对于阿里云用户来说，就是在阿里云控制台里面的设置安全组，把里面的所需的服务的端口都打开。这样才能建立连接，FTP主动模式需要开20，21两个端口，服务从20端口主动向客户端发起连接，而被动模式你也需要另外在加开端口，比如50000-50010，这是一个范围，服务端在指定范围内某个端口被动等待客户端连接。这便是被动模式。
而对于NFS这种服务，他是先通过RPC服务的注册，才能正常工作，NFS是被RPC服务管理的,所以必须安装RPC的主程序rpcbind，才能允许NFS，在开启服务的时候也需要先开启rpcbind服务，才能开启nfs服务，而NFS主进程端口是2049，RPC端口是111 ，但是NFS还有许多子进程，这便是通过RPC注册的NFS daemon端口，他的端口号是随机的，因为端口随机，如果关了防火墙还好说，啥都可以过，但是一旦开启呢？你总不能在使用服务之前先查一下端口号再来配置防火墙规则吧，这是不现实的，所以我们就需要把随机端口给固定了。可以更改配置文件固定NFS服务相关端口。这样设置固定端口以后即便重启机器也很方便挂载，如果不设置固定端口，机器或服务重启后之前添加的iptables规则就失效了，当然你也可以systemctl stop iptables.service，systemctl stop firewalld.service来临时关闭防火墙，重启之后就会失效。
那如何配置可以控制端口开放范围的NFS配置文件呢？
vim /etc/sysconfig/nfs
RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004
添加这几条规则，就把端口限制了。
systemctl restart rpcbind.service
systemctl restart nfs.service
重启rpc，nfs服务，配置生效
rpcinfo -p查看服务端口
你会发现，全都是你设定的端口号
接下来就需要给防火墙设置规则，开窗户了：
添加iptables规则
iptables -A INPUT -s 192.168.214.0/24 -p tcp –dport 111 -j ACCEPT
iptables -A INPUT -s 192.168.214.0/24 -p udp –dport 111 -j ACCEPT
iptables -A INPUT -s 192.168.214.0/24 -p tcp –dport 2049 -j ACCEPT
iptables -A INPUT -s 192.168.214.0/24 -p udp –dport 2049 -j ACCEPT
iptables -A INPUT -s 192.168.214.0/24 -p tcp –dport 30001:30004 -j ACCEPT
iptables -A INPUT -s 192.168.214.0/24 -p udp –dport 30001:30004 -j ACCEPT
保存退出后，重启防火墙
systemctl restart iptables.service
添加firewall规则
firewall-cmd –permanent –add-port=111/tcp
firewall-cmd –permanent –add-port=111/udp
firewall-cmd –permanent –add-port=2049/tcp
firewall-cmd –permanent –add-port=2049/udp
firewall-cmd –permanent –add-port=30001/tcp
firewall-cmd –permanent –add-port=30001/udp
firewall-cmd –permanent –add-port=30002/tcp
firewall-cmd –permanent –add-port=30002/udp
firewall-cmd –permanent –add-port=30003/tcp
firewall-cmd –permanent –add-port=30003/udp
firewall-cmd –permanent –add-port=30004/tcp
firewall-cmd –permanent –add-port=30004/udp
保存退出后，重启防火墙
systemctl restart iptables.service
重启服务器
reboot
重启之后执行”rpcinfo -p”命令
就发现全部都OK了
这两种选其一即可，看你电脑是开启的哪种防火墙

这些都弄完之后，就可以配置NFS的配置文件了

还有一点，特别重要！！！就是我们要学会多看看日志，有时候让你抓耳挠腮，百思不得其解的报错，百度，谷歌都没用的时候，多去看看日志文件把：
/var/log/secure
/var/log/messages

相信我，你也许会有一种山重水复疑无路，柳暗花明又一村的感觉。

最后，让我们一起努力吧，爱Linux真是太好了！

再让我加一句，我的从零开始学习Linux与Linux网络基础服务搭建也都已经更新完啦，有些兴趣的可以去看看！！

链接: 从零开始学习Linux.
链接: Linux网络基础.