GTO_lab0601
2 Bronze

Isilon H500のNFS通信制御について

ソリューションへジャンプ

お世話になっております。

現在Isilon H500(OneFS 8.2.2)を使用しております。

NFSサービス(tcp/udp)についてセキュリティ監査で指摘があり、上位にあるswitchで止める事が出来ない場合、Isilon側で通信を制御できないかと考えています。

Isilon側で特定通信を制御することは可能でしょうか?

0 件の賞賛
2 解決策

受理された解決策
ayas
MOD
MOD

Re: Isilon H500のNFS通信制御について

ソリューションへジャンプ

GTO_lab0601さん

 

NFS通信制御をIsilon側でするのであればNFSDisableで可能かと思います。

 

やってみた例)

 

# isi nfs settings global view

      NFSv3 Enabled: Yes

      NFSv4 Enabled: Yes

     Rquota Enabled: No

NFS Service Enabled: Yes

 

ONEFS GUIのProtcols>Unix sharingsのGlobal Settingにあるティックをはずすと・・・

Image

NFS ServiceがDisableになります。

 

# isi nfs settings global view

      NFSv3 Enabled: No

      NFSv4 Enabled: No

     Rquota Enabled: No

NFS Service Enabled: No <<<

 

 参考KB How to disable NFSv2 and NFSv3, and enable NFSv4

 

元の投稿で解決策を見る

0 件の賞賛
ayas
MOD
MOD

Re: Isilon H500のNFS通信制御について

ソリューションへジャンプ

GTO_lab0601さん

 

ご返信をありがとうございます。

 

 

例えば認証されたホストのみが、リモートホストでNFS共有にアクセスできるようにしたり
NFSv3,NFSv4
サービスはenableのまま特定のポートやIP以外からの通信を制限するなどです。

→可能です。NFS Exportの設定で任意のホストIPでのアクセスが設定できます。

 

Image

 

Isilon Helpより

OneFS Web Administration Guide/File sharing/NFS

Note:We recommend that you modify the default export to limit access only to trusted clients, or to restrict access completely.

 

 

元の投稿で解決策を見る

0 件の賞賛
4 返答(返信)
ayas
MOD
MOD

Re: Isilon H500のNFS通信制御について

ソリューションへジャンプ

GTO_lab0601さん

 

NFS通信制御をIsilon側でするのであればNFSDisableで可能かと思います。

 

やってみた例)

 

# isi nfs settings global view

      NFSv3 Enabled: Yes

      NFSv4 Enabled: Yes

     Rquota Enabled: No

NFS Service Enabled: Yes

 

ONEFS GUIのProtcols>Unix sharingsのGlobal Settingにあるティックをはずすと・・・

Image

NFS ServiceがDisableになります。

 

# isi nfs settings global view

      NFSv3 Enabled: No

      NFSv4 Enabled: No

     Rquota Enabled: No

NFS Service Enabled: No <<<

 

 参考KB How to disable NFSv2 and NFSv3, and enable NFSv4

 

元の投稿で解決策を見る

0 件の賞賛
GTO_lab0601
2 Bronze

Re: Isilon H500のNFS通信制御について

ソリューションへジャンプ

ayasさん

ご回答ありがとうございます。
NFSv3、NFSv4のサービスは上記方法で有効、無効化できることを理解できました。

追加で質問なのですが、サービスの提供範囲を制限する事は可能でしょうか?
例えば認証されたホストのみが、リモートホストでNFS共有にアクセスできるようにしたり
NFSv3,NFSv4サービスはenableのまま特定のポートやIP以外からの通信を制限するなどです。

0 件の賞賛
ayas
MOD
MOD

Re: Isilon H500のNFS通信制御について

ソリューションへジャンプ

GTO_lab0601さん

 

ご返信をありがとうございます。

 

 

例えば認証されたホストのみが、リモートホストでNFS共有にアクセスできるようにしたり
NFSv3,NFSv4
サービスはenableのまま特定のポートやIP以外からの通信を制限するなどです。

→可能です。NFS Exportの設定で任意のホストIPでのアクセスが設定できます。

 

Image

 

Isilon Helpより

OneFS Web Administration Guide/File sharing/NFS

Note:We recommend that you modify the default export to limit access only to trusted clients, or to restrict access completely.

 

 

元の投稿で解決策を見る

0 件の賞賛
GTO_lab0601
2 Bronze

Re: Isilon H500のNFS通信制御について

ソリューションへジャンプ
ayasさん

ご返信ありがとうございます。
上記方法で指定ができるのですね、こちらでもシュミレータで確認してみます。ありがとうございます。
0 件の賞賛