AIX의 NFS 서버에서 NFS 클라이언트를 추방하는 방법은 무엇입니까?

AIX의 NFS 서버에서 NFS 클라이언트를 추방하는 방법은 무엇입니까?

시작하려는 클라이언트의 NFS 사용량이 더 높지만 다른 NFS 클라이언트에는 영향을 미치지 않는다는 것을 알 수 있습니다. 우리는 무엇을 해야 합니까? 방화벽만 사용해도 되나요?

답변1

iptables와 같은 솔루션을 사용하려면 bos.net.ipsec.rte가 필요합니다.

현재 설치를 확인하세요.

michael@x071:[/home/michael]lslpp -L bos.net.ipsec.rte
  Fileset                      Level  State  Type  Description (Uninstaller)
  ----------------------------------------------------------------------------
  bos.net.ipsec.rte         6.1.9.45    C     F    IP Security

설치된 경우 다음 명령을 사용하여 활성 상태인지 비활성 상태인지 확인할 수 있습니다.

긍정적인:

michael@x071:[/home/michael]lsdev -C | grep ipsec
ipsec_v4    Available       IP Version 4 Security Extension
ipsec_v6    Available       IP Version 6 Security Extension

비활성:

root@x064:[/]lsdev -C | grep ipsec

그건출력 없음, 활성화된 적이 없음을 의미합니다.

root@x072:[/]lsdev -C | grep ipsec
ipsec_v4   Defined         IP Version 4 Security Extension
ipsec_v6   Defined         IP Version 6 Security Extension

일부 출력은 일부 구성이 있을 수 있지만 비활성화되었음을 의미합니다.

다음은 v4 및/또는 v6 ipsec에 대해 ipsec을 켜거나 끄는 방법에 대한 몇 가지 예입니다.

root@x072:[/]lsdev -C | grep ipsec
ipsec_v4   Defined         IP Version 4 Security Extension
ipsec_v6   Available       IP Version 6 Security Extension
root@x072:[/]mkdev -l ipsec_v4
ipsec_v4 Available
root@x072:[/]rmdev -l ipsec_v6
ipsec_v6 Defined
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4   Available       IP Version 4 Security Extension
ipsec_v6   Defined         IP Version 6 Security Extension

이제 각 클라이언트(IP 주소로 정의됨)에 대해 nfs를 중지합니다.

IP 주소를 알아내자192.168.111.222고객의 주소로 중지하고 싶습니다. 다양한 조치를 취할 수 있습니다. 허용 및 거부가 일반적인 조치입니다. 조금 더 멋스럽게 블록 포트를 사용할 수 있습니다. 그러면 포트에서 연결이 시도될 때마다 새로운 동적 거부 규칙이 생성됩니다. 이렇게 하면 얼마나 고유한지 확인할 수 있습니다. 설치 요청이 활성 상태입니다. 예:

포트 2049에 집중해야 합니다.

root@x072:[/]grep nfs /etc/services
nfsd-status      1110/tcp               # Cluster status info
nfsd-keepalive  1110/udp                # Client status info
picknfs          1598/tcp               # picknfs
picknfs          1598/udp               # picknfs
shiva_confsrvr  1651/tcp                # shiva_confsrvr
shiva_confsrvr  1651/udp                # shiva_confsrvr
#nfs                    2049/tcp                # Network File System - Sun Microsystems
#nfs                    2049/udp                # Network File System - Sun Microsystems
3d-nfsd          2323/tcp               # 3d-nfsd
3d-nfsd          2323/udp               # 3d-nfsd
mediacntrlnfsd  2363/tcp                # Media Central NFSD 
mediacntrlnfsd  2363/udp                # Media Central NFSD 

참고: smit(ty)를 사용하려면 다음을 사용하십시오.

smitty ipsec4

그런 다음 고급...->추가를 사용하세요.

                         Add an IP Security Filter Rule

Type or select values in entry fields.
Press Enter AFTER making all desired changes.

                                                        [Entry Fields]
* Rule Action                                        [shun_port]             +
* IP Source Address                                  [192.168.111.222]
* IP Source Mask                                     [255.255.255.255]
  IP Destination Address                             [0.0.0.0]
  IP Destination Mask                                [0.0.0.0]
* Apply to Source Routing? (PERMIT/inbound only)     [yes]                   +
* Protocol                                           [tcp]                   +
* Source Port / ICMP Type Operation                  [any]                   +
* Source Port Number / ICMP Type                     [0]                      #
* Destination Port / ICMP Code Operation             [eq]                    +
* Destination Port Number / ICMP Type                [2049]                   #
* Routing                                            [local]                 +
* Direction                                          [inbound]               +
* Log Control                                        [no]                    +
* Fragmentation Control                              [0]                     +
* Interface                                          [all]                   +
  Expiration Time  (sec)                             [300]                    #
  Pattern Type                                       [none]                  +
  Pattern / Pattern File                             []
  Description                                        <g port on NFS request]

또는 명령줄에서:

/usr/sbin/genfilt -v 4  -a 'S' -s '192.168.111.222' -m '255.255.255.255' -d '0.0.0.0' -M '0.0.0.0' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '2049' -r 'L' -w 'I' -l 'N' -t '0' -i 'all' -e '300' -D 'block incoming port on NFS request'

smit 또는 명령줄에서 - 규칙 활성화

mkfilt -v4 -u

구성된 규칙을 봅니다.

lsfilt -v4 -O

(가능한) 동적 규칙을 확인하세요.

lsfilt -v4 -a -O

** 아직 설명을 추가할 수 없습니다. 지금 변경해야 하는 경우 - 이는 향후 포트 연결에만 영향을 미치므로 다음 명령을 사용할 수 있습니다.

nfs.clean; sleep 2; rc.nfs

nfs 서비스를 중지했다가 다시 시작합니다. 알아채다

stopsrc -g nfs; startsrc -g nfs

데몬이 올바른 순서로 시작되지 않았습니다.

답변2

netstat -an

tcpkill그런 다음 이는 양 당사자에게 재설정 패킷을 보내는 데 사용됩니다 .

tcpkill은 tcpdump와 동일한 매개변수를 사용합니다.

관련 정보