起動するクライアントの NFS 使用率は高くなりますが、他の NFS クライアントには影響しません。私たちは何をすべきですか?ファイアウォールだけを使用できますか?
答え1
iptablesなどのソリューションを使用するには、bos.net.ipsec.rteが必要です。
現在のインストールを確認してください。
michael@x071:[/home/michael]lslpp -L bos.net.ipsec.rte
Fileset Level State Type Description (Uninstaller)
----------------------------------------------------------------------------
bos.net.ipsec.rte 6.1.9.45 C F IP Security
インストールされている場合は、次のコマンドを使用してアクティブか非アクティブかを確認できます。
肯定的な:
michael@x071:[/home/michael]lsdev -C | grep ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
非アクティブ:
root@x064:[/]lsdev -C | grep ipsec
それは出力なし、アクティブになったことがないことを意味します。
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Defined IP Version 4 Security Extension
ipsec_v6 Defined IP Version 6 Security Extension
一部の出力は、いくつかの設定があるかもしれませんが無効になっていることを意味します。
以下は、v4および/またはv6 ipsecに対してipsecをオンまたはオフにする方法のいくつかの例です。
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Defined IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
root@x072:[/]mkdev -l ipsec_v4
ipsec_v4 Available
root@x072:[/]rmdev -l ipsec_v6
ipsec_v6 Defined
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Defined IP Version 6 Security Extension
これで、各クライアント(IPアドレスで定義されている)に対してnfsを停止します。
IPアドレスを調べよう192.168.111.222お客様の住所で停止したいです。いろいろな措置を取ることができます。許可と拒否は一般的な措置です。もう少し素敵にブロックポートを使用できます。これにより、ポートが接続しようとするたびに新しい動的拒否ルールが作成されます。これにより、どれだけユニークであるかを確認できます。インストール要求がアクティブです。例:
ポート2049に集中する必要があります。
root@x072:[/]grep nfs /etc/services
nfsd-status 1110/tcp # Cluster status info
nfsd-keepalive 1110/udp # Client status info
picknfs 1598/tcp # picknfs
picknfs 1598/udp # picknfs
shiva_confsrvr 1651/tcp # shiva_confsrvr
shiva_confsrvr 1651/udp # shiva_confsrvr
#nfs 2049/tcp # Network File System - Sun Microsystems
#nfs 2049/udp # Network File System - Sun Microsystems
3d-nfsd 2323/tcp # 3d-nfsd
3d-nfsd 2323/udp # 3d-nfsd
mediacntrlnfsd 2363/tcp # Media Central NFSD
mediacntrlnfsd 2363/udp # Media Central NFSD
注:smit(ty)を使用するには、次のようにします。
smitty ipsec4
次に、詳細...->追加を使用してください。
Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
* Rule Action [shun_port] +
* IP Source Address [192.168.111.222]
* IP Source Mask [255.255.255.255]
IP Destination Address [0.0.0.0]
IP Destination Mask [0.0.0.0]
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [tcp] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [eq] +
* Destination Port Number / ICMP Type [2049] #
* Routing [local] +
* Direction [inbound] +
* Log Control [no] +
* Fragmentation Control [0] +
* Interface [all] +
Expiration Time (sec) [300] #
Pattern Type [none] +
Pattern / Pattern File []
Description <g port on NFS request]
またはコマンドラインから:
/usr/sbin/genfilt -v 4 -a 'S' -s '192.168.111.222' -m '255.255.255.255' -d '0.0.0.0' -M '0.0.0.0' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '2049' -r 'L' -w 'I' -l 'N' -t '0' -i 'all' -e '300' -D 'block incoming port on NFS request'
smitまたはコマンドラインで - ルールを有効にする
mkfilt -v4 -u
設定されたルールを表示します。
lsfilt -v4 -O
(可能な)動的ルールを確認してください。
lsfilt -v4 -a -O
**まだ説明を追加できません。今すぐ変更する必要がある場合 - これは将来のポート接続にのみ影響するため、次のコマンドを使用できます。
nfs.clean; sleep 2; rc.nfs
nfs サービスを停止して再起動します。気づく
stopsrc -g nfs; startsrc -g nfs
デーモンが正しい順序で始まっていません。
答え2
netstat -an
tcpkill
その後、両方のパーティにリセットパケットを送信するために使用されます。
tcpkillはtcpdumpと同じパラメータを使用します。