AIXのNFSサーバーからNFSクライアントを追放する方法は?

AIXのNFSサーバーからNFSクライアントを追放する方法は?

起動するクライアントの NFS 使用率は高くなりますが、他の NFS クライアントには影響しません。私たちは何をすべきですか?ファイアウォールだけを使用できますか?

答え1

iptablesなどのソリューションを使用するには、bos.net.ipsec.rteが必要です。

現在のインストールを確認してください。

michael@x071:[/home/michael]lslpp -L bos.net.ipsec.rte
  Fileset                      Level  State  Type  Description (Uninstaller)
  ----------------------------------------------------------------------------
  bos.net.ipsec.rte         6.1.9.45    C     F    IP Security

インストールされている場合は、次のコマンドを使用してアクティブか非アクティブかを確認できます。

肯定的な:

michael@x071:[/home/michael]lsdev -C | grep ipsec
ipsec_v4    Available       IP Version 4 Security Extension
ipsec_v6    Available       IP Version 6 Security Extension

非アクティブ:

root@x064:[/]lsdev -C | grep ipsec

それは出力なし、アクティブになったことがないことを意味します。

root@x072:[/]lsdev -C | grep ipsec
ipsec_v4   Defined         IP Version 4 Security Extension
ipsec_v6   Defined         IP Version 6 Security Extension

一部の出力は、いくつかの設定があるかもしれませんが無効になっていることを意味します。

以下は、v4および/またはv6 ipsecに対してipsecをオンまたはオフにする方法のいくつかの例です。

root@x072:[/]lsdev -C | grep ipsec
ipsec_v4   Defined         IP Version 4 Security Extension
ipsec_v6   Available       IP Version 6 Security Extension
root@x072:[/]mkdev -l ipsec_v4
ipsec_v4 Available
root@x072:[/]rmdev -l ipsec_v6
ipsec_v6 Defined
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4   Available       IP Version 4 Security Extension
ipsec_v6   Defined         IP Version 6 Security Extension

これで、各クライアント(IPアドレスで定義されている)に対してnfsを停止します。

IPアドレスを調べよう192.168.111.222お客様の住所で停止したいです。いろいろな措置を取ることができます。許可と拒否は一般的な措置です。もう少し素敵にブロックポートを使用できます。これにより、ポートが接続しようとするたびに新しい動的拒否ルールが作成されます。これにより、どれだけユニークであるかを確認できます。インストール要求がアクティブです。例:

ポート2049に集中する必要があります。

root@x072:[/]grep nfs /etc/services
nfsd-status      1110/tcp               # Cluster status info
nfsd-keepalive  1110/udp                # Client status info
picknfs          1598/tcp               # picknfs
picknfs          1598/udp               # picknfs
shiva_confsrvr  1651/tcp                # shiva_confsrvr
shiva_confsrvr  1651/udp                # shiva_confsrvr
#nfs                    2049/tcp                # Network File System - Sun Microsystems
#nfs                    2049/udp                # Network File System - Sun Microsystems
3d-nfsd          2323/tcp               # 3d-nfsd
3d-nfsd          2323/udp               # 3d-nfsd
mediacntrlnfsd  2363/tcp                # Media Central NFSD 
mediacntrlnfsd  2363/udp                # Media Central NFSD 

注:smit(ty)を使用するには、次のようにします。

smitty ipsec4

次に、詳細...->追加を使用してください。

                         Add an IP Security Filter Rule

Type or select values in entry fields.
Press Enter AFTER making all desired changes.

                                                        [Entry Fields]
* Rule Action                                        [shun_port]             +
* IP Source Address                                  [192.168.111.222]
* IP Source Mask                                     [255.255.255.255]
  IP Destination Address                             [0.0.0.0]
  IP Destination Mask                                [0.0.0.0]
* Apply to Source Routing? (PERMIT/inbound only)     [yes]                   +
* Protocol                                           [tcp]                   +
* Source Port / ICMP Type Operation                  [any]                   +
* Source Port Number / ICMP Type                     [0]                      #
* Destination Port / ICMP Code Operation             [eq]                    +
* Destination Port Number / ICMP Type                [2049]                   #
* Routing                                            [local]                 +
* Direction                                          [inbound]               +
* Log Control                                        [no]                    +
* Fragmentation Control                              [0]                     +
* Interface                                          [all]                   +
  Expiration Time  (sec)                             [300]                    #
  Pattern Type                                       [none]                  +
  Pattern / Pattern File                             []
  Description                                        <g port on NFS request]

またはコマンドラインから:

/usr/sbin/genfilt -v 4  -a 'S' -s '192.168.111.222' -m '255.255.255.255' -d '0.0.0.0' -M '0.0.0.0' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '2049' -r 'L' -w 'I' -l 'N' -t '0' -i 'all' -e '300' -D 'block incoming port on NFS request'

smitまたはコマンドラインで - ルールを有効にする

mkfilt -v4 -u

設定されたルールを表示します。

lsfilt -v4 -O

(可能な)動的ルールを確認してください。

lsfilt -v4 -a -O

**まだ説明を追加できません。今すぐ変更する必要がある場合 - これは将来のポート接続にのみ影響するため、次のコマンドを使用できます。

nfs.clean; sleep 2; rc.nfs

nfs サービスを停止して再起動します。気づく

stopsrc -g nfs; startsrc -g nfs

デーモンが正しい順序で始まっていません。

答え2

netstat -an

tcpkillその後、両方のパーティにリセットパケットを送信するために使用されます。

tcpkillはtcpdumpと同じパラメータを使用します。

関連情報