시작하려는 클라이언트의 NFS 사용량이 더 높지만 다른 NFS 클라이언트에는 영향을 미치지 않는다는 것을 알 수 있습니다. 우리는 무엇을 해야 합니까? 방화벽만 사용해도 되나요?
답변1
iptables와 같은 솔루션을 사용하려면 bos.net.ipsec.rte가 필요합니다.
현재 설치를 확인하세요.
michael@x071:[/home/michael]lslpp -L bos.net.ipsec.rte
Fileset Level State Type Description (Uninstaller)
----------------------------------------------------------------------------
bos.net.ipsec.rte 6.1.9.45 C F IP Security
설치된 경우 다음 명령을 사용하여 활성 상태인지 비활성 상태인지 확인할 수 있습니다.
긍정적인:
michael@x071:[/home/michael]lsdev -C | grep ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
비활성:
root@x064:[/]lsdev -C | grep ipsec
그건출력 없음, 활성화된 적이 없음을 의미합니다.
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Defined IP Version 4 Security Extension
ipsec_v6 Defined IP Version 6 Security Extension
일부 출력은 일부 구성이 있을 수 있지만 비활성화되었음을 의미합니다.
다음은 v4 및/또는 v6 ipsec에 대해 ipsec을 켜거나 끄는 방법에 대한 몇 가지 예입니다.
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Defined IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
root@x072:[/]mkdev -l ipsec_v4
ipsec_v4 Available
root@x072:[/]rmdev -l ipsec_v6
ipsec_v6 Defined
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Defined IP Version 6 Security Extension
이제 각 클라이언트(IP 주소로 정의됨)에 대해 nfs를 중지합니다.
IP 주소를 알아내자192.168.111.222고객의 주소로 중지하고 싶습니다. 다양한 조치를 취할 수 있습니다. 허용 및 거부가 일반적인 조치입니다. 조금 더 멋스럽게 블록 포트를 사용할 수 있습니다. 그러면 포트에서 연결이 시도될 때마다 새로운 동적 거부 규칙이 생성됩니다. 이렇게 하면 얼마나 고유한지 확인할 수 있습니다. 설치 요청이 활성 상태입니다. 예:
포트 2049에 집중해야 합니다.
root@x072:[/]grep nfs /etc/services
nfsd-status 1110/tcp # Cluster status info
nfsd-keepalive 1110/udp # Client status info
picknfs 1598/tcp # picknfs
picknfs 1598/udp # picknfs
shiva_confsrvr 1651/tcp # shiva_confsrvr
shiva_confsrvr 1651/udp # shiva_confsrvr
#nfs 2049/tcp # Network File System - Sun Microsystems
#nfs 2049/udp # Network File System - Sun Microsystems
3d-nfsd 2323/tcp # 3d-nfsd
3d-nfsd 2323/udp # 3d-nfsd
mediacntrlnfsd 2363/tcp # Media Central NFSD
mediacntrlnfsd 2363/udp # Media Central NFSD
참고: smit(ty)를 사용하려면 다음을 사용하십시오.
smitty ipsec4
그런 다음 고급...->추가를 사용하세요.
Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
* Rule Action [shun_port] +
* IP Source Address [192.168.111.222]
* IP Source Mask [255.255.255.255]
IP Destination Address [0.0.0.0]
IP Destination Mask [0.0.0.0]
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [tcp] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [eq] +
* Destination Port Number / ICMP Type [2049] #
* Routing [local] +
* Direction [inbound] +
* Log Control [no] +
* Fragmentation Control [0] +
* Interface [all] +
Expiration Time (sec) [300] #
Pattern Type [none] +
Pattern / Pattern File []
Description <g port on NFS request]
또는 명령줄에서:
/usr/sbin/genfilt -v 4 -a 'S' -s '192.168.111.222' -m '255.255.255.255' -d '0.0.0.0' -M '0.0.0.0' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '2049' -r 'L' -w 'I' -l 'N' -t '0' -i 'all' -e '300' -D 'block incoming port on NFS request'
smit 또는 명령줄에서 - 규칙 활성화
mkfilt -v4 -u
구성된 규칙을 봅니다.
lsfilt -v4 -O
(가능한) 동적 규칙을 확인하세요.
lsfilt -v4 -a -O
** 아직 설명을 추가할 수 없습니다. 지금 변경해야 하는 경우 - 이는 향후 포트 연결에만 영향을 미치므로 다음 명령을 사용할 수 있습니다.
nfs.clean; sleep 2; rc.nfs
nfs 서비스를 중지했다가 다시 시작합니다. 알아채다
stopsrc -g nfs; startsrc -g nfs
데몬이 올바른 순서로 시작되지 않았습니다.
답변2
netstat -an
tcpkill그런 다음 이는 양 당사자에게 재설정 패킷을 보내는 데 사용됩니다 .
tcpkill은 tcpdump와 동일한 매개변수를 사용합니다.