- 主题:在同一物理线路上运行两个网段?
B的防火墙针对nfs服务做远端过滤,只对A服务。
【 在 blitz 的大作中提到: 】
: 需求:在同一个物理网络内限制哪些客户端可以挂载nfs服务器的导出项。
: A、B两台机器,通过同一台交换机连到一个更大的局域网(下称N)上
: A、B各自有属于这个大局域网的地址e.g., 192.168.1.2, 192.168.1.3
: ...................
--
FROM 42.53.250.*
刚才好像被吞了。。你这个情况需要搭建一个V/P,嗯。不然无论是网段限制还是vlan,甚至基于mac地址过滤都可以被冒充。
用wireguard在现有链路上搭建一个点对点通道也很容易
【 在 blitz 的大作中提到: 】
: 需求:在同一个物理网络内限制哪些客户端可以挂载nfs服务器的导出项。
: A、B两台机器,通过同一台交换机连到一个更大的局域网(下称N)上
: A、B各自有属于这个大局域网的地址e.g., 192.168.1.2, 192.168.1.3
: ...................
--
FROM 49.7.47.*
还有个思路是在B上用iptables控制访问规则,不过你的B上的nfs设置需要改一下,
要固定几个端口。有兴趣可以参考一下这篇文章:
https://blog.csdn.net/qq_26614295/article/details/103119982
【 在 blitz 的大作中提到: 】
: 需求:在同一个物理网络内限制哪些客户端可以挂载nfs服务器的导出项。
: A、B两台机器,通过同一台交换机连到一个更大的局域网(下称N)上
: A、B各自有属于这个大局域网的地址e.g., 192.168.1.2, 192.168.1.3
: B上通过nfs导出了一个目录,只希望A能挂载。
: 但是nfs并不提供任何认证服务(我知道有一个,那个太麻烦),当然可以在/etc/exports里限制谁能挂载,但是外部仍然能用showmounts来看有哪些挂载点。
: 我的方案是
: 在A、B的网卡上各自再绑定一个新的ip,比如10.11.0.2, 10.11.0.3,并确保防火墙对来自这两个地址的数据不加过滤,而对192网段的数据进行白名单限制。
: 所以实际上,A、B之间有另一个和网络N共享物理层的网络。
: 经过测试上述方法可以工作。
: 那么我的问题是,上述方法是否合理?在不增加硬件的条件下,有没有更好的方法?
--
FROM 106.184.119.*